Ай Ком Сервис Trojan.MBRlock прячет ключ разблокировки и способен самовосстанавливаться - 25 Ноября 2011 - Ай Ком Сервис
Главная » 2011 » Ноябрь » 25 » Trojan.MBRlock прячет ключ разблокировки и способен самовосстанавливаться
01:39
Trojan.MBRlock прячет ключ разблокировки и способен самовосстанавливаться
В Сети обнаружена новая модификация известной программы-вымогателя Trojan.MBRlock, способной изменяють загрузочную запись Windows. Это вредоносное приложение, получившее в классификации Dr.Web наименование Trojan.MBRlock.17, отличается от предшественников тем, что записывает свои компоненты в случайные сектора и не хранит в открытом виде ключ разблокировки.  Одной из ключевых особенностей троянцев семейства Trojan.MBRlock является то, что эти вредоносные программы модифицируют загрузочную запись Windows (Master Boot Record, MBR), сохраняя оригинальную MBR в другой части жесткого диска. Изменяя MBR, троянец получает возможность стартовать раньше операционной системы и блокировать ее штатный запуск. После этого на экран компьютера выводится сообщение, содержащее требования вымогателей: в последнем случае за разблокировку компьютера злоумышленники требуют заплатить 400 рублей для жителей России, 120 гривен для жителей Украины или 60 000 белорусских рублей.




Запускаясь на компьютере жертвы, Trojan.MBRlock.17 сохраняется во временную папку со случайным именем. Далее,  троянец запускает процесс calc.exe (стандартную программу «Калькулятор») и встраивает в него свой код. Затем встроенный в процесс calc.exe Trojan.MBRlock.17 создает файл в папке %APPDATA%\Adobe\Update\, который впоследствии удаляется, запускает системный процесс explorer.exe и копирует свой код в него. Процесс explorer.exe инфицирует MBR и пытается завершить работу Windows. Надо отметить, что в отличие от своих предшественников, Trojan.MBRlock.17 записывает свои компоненты, такие как шрифты, выводимый на экран текст и оригинальную MBR, в случайные сектора жесткого диска, то есть способен изменять в своем коде отвечающие за выбор таких секторов константы. Ключ разблокировки троянец также не хранит в открытом виде: он создается динамически на основе ряда параметров. Помимо этого троянец уничтожает таблицу разделов, предварительно сделав копию первого сектора для последующего восстановления. Сигнатура данной угрозы уже добавлена в вирусные базы Dr.Web.











Категория: Интернет угрозы | Просмотров: 504 | Добавил: Administrator | Теги: Trojan.MBRlock.17, заражение компьютера, windows, Trojan.MBRlock, троян, mbr | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]