Имя:Worm/BackNine
Обнаружен:09/03/2007
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:От среднего до высокого
Файл статистики:Да
Размер файла:20.992 байт.
Контрольная сумма MD5:000B5aea832ad9e266b0abe8ac0B757e
Версия VDF:6.38.00.23 - пятница, 9 марта 2007 г.
Версия IVDF:6.38.00.23 - пятница, 9 марта 2007 г.

 Общее Псевдонимы (аliases):
   •  Kaspersky: Trojan.Win32.Crypt.ab
   •  F-Secure: Trojan.Win32.Crypt.ab
   •  Bitdefender: Trojan.Ransom.B


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


После активации запускается Windows приложение. При этом отображается следующее окно:


 Файлы Создаются собственные копии:
   • %SYSDIR%\recovery.exe
   • %SYSDIR%\kkk.exe


Шифрование:
Создаются новые файлы. Файлы являются зашифрованными версиями обнаруженных файлов.

Производится поиск в следующей директории:
   • %все папки%

Имя файла архива является именем оригинального файла с добавлением архивного расширения файла

Имя файла архива::
   • *.rwg



Создается файл:

%SYSDIR%\RansomWar.txt Файл является безвредным текстовым файлом со следующим содержимым:
   • Dear user,
      some of your files have been encrypted using a quite strong system.
     Now you are scared but I will not ask you for money.
     If you want to get back your files you can do following:
     1) Contact a good antivirus-company that will decrypt them for you
     2) You can send an email to **********@yahoo.com requesting a decryptor program
     3) You can launch your PC trought the window or use a better OS (like linux) :)
     
      RansomWar by [WarGame,eof]

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • run = %SYSDIR%\recovery.exe

 Email Программа использует MAPI для отправки ответов на сохраненные письма. При этом устанавливается прямое соединение с сервером. Подробности приведены ниже:


От:
Адрес отправителя - учетная запись пользователя Outlook


Дизайн письма:
Тема: You are a very lucky man, read this mail!
Текст письма:
   • Hi, you won a big amount of money!!! If you want to know more look at the attachment!
Прикрепленный файл:
   • BigCashForYou.exe



Письмо выглядит следующим образом:


 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Andrei Gherman в(о) вторник, 15 мая 2007 г.
Описание обновил Andrei Gherman в(о) вторник, 15 мая 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.