Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:TR/Ransom.WinLock.A
Descoperit pe data de:19/07/2011
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:33.792 Bytes
MD5:B9CF011968971CDD8424BC463603B71D
Versiune VDF:7.11.11.206 - marți, 19 iulie 2011
Versiune IVDF:7.11.11.206 - marți, 19 iulie 2011

 General Alias:
   •  TrendMicro: TROJ_RANSOM.AMM
   •  Sophos: Mal/Zbot-DE
   •  Microsoft: Trojan:Win32/Ransom.DF


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efecte secundare:
   • Creeaza fisiere
   • Modificari in registri


Imediat dupa lansarea in executie, pe ecran este afisat:


 Fisiere Se copiaza in urmatoarele locatii:
   • %ALLUSERSPROFILE%\Application Data\%valori hex%.exe
   • %SYSDIR%\taskmgr.exe
   • %SYSDIR%\userinit.exe
   • %SYSDIR%\dllcache\taskmgr.exe
   • %SYSDIR%\dllcache\userinit.exe

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="%ALLUSERSPROFILE%\Application Data\%valori hex%.exe"

 Terminarea proceselor Urmatorul proces este oprit:
   • %WINDIR%\explorer.exe


 Alte informatii Metode anti-debugging
Verifica prezenta unui debugger sau a unei masini virtuale folosind tehnici de masurare a timpului.

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Andrei Ilie on Friday, October 7, 2011
Description updated by Andrei Ilie on Monday, October 10, 2011

Back . . . .