Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:TR/Ransom.WinLock.A
Обнаружен:19/07/2011
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:33.792 байт.
Контрольная сумма MD5:B9CF011968971CDD8424BC463603B71D
Версия VDF:7.11.11.206 - вторник, 19 июля 2011 г.
Версия IVDF:7.11.11.206 - вторник, 19 июля 2011 г.

 Общее Псевдонимы (аliases):
   •  TrendMicro: TROJ_RANSOM.AMM
   •  Sophos: Mal/Zbot-DE
   •  Microsoft: Trojan:Win32/Ransom.DF


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Последствия:
   • Создает файлы
   • Изменение реестра


После запуска выдается следующая информация:


 Файлы Создаются собственные копии:
   • %ALLUSERSPROFILE%\Application Data\%шестнадцатиричное значение%.exe
   • %SYSDIR%\taskmgr.exe
   • %SYSDIR%\userinit.exe
   • %SYSDIR%\dllcache\taskmgr.exe
   • %SYSDIR%\dllcache\userinit.exe

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="%ALLUSERSPROFILE%\Application Data\%шестнадцатиричное значение%.exe"

 Завершение процесса Завершение процесса:
   • %WINDIR%\explorer.exe


 Разное Антиотладка
Проверка отладчика и виртуальной машины с помощью приемов, использующих привязку по времени.

 Данные файла Язык программирования:
Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Andrei Ilie в(о) пятница, 7 октября 2011 г.
Описание обновил Andrei Ilie в(о) понедельник, 10 октября 2011 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.