Virus Messenger - Uporabniki črvov izsiljujejo

Črv Randsom.A paralizira okužene računalnike tako, da šifrira datoteke, shranjene na njih, in nato poskuša zaslužiti.

Symantec in Varnostno središče Isidor sta poročala, da je začel osvajati še en izsiljevalni črv. THE Randsom.A Po ustvarjanju nekaterih datotek in spreminjanju registra bo zlonamerna programska oprema začela zbirati zaupne podatke. Pridobljene podatke naloži na vnaprej določen oddaljeni strežnik po internetu. Črv nato šifrira datoteke v sistemu Windows, programske datoteke in druge imenike, ki so pomembni za delovanje sistema Windows. Nato poskusite prepričati uporabnika, da kupi programsko opremo, potrebno za dešifriranje datotek. Randsom.A si prizadeva priti na čim več računalnikov s pomočjo predvsem odstranljivih pogonov in omrežnih datotek.

Ko se črv Randsom.A zažene, izvede naslednja dejanja:

1. Ustvarite naslednje datoteke:
   % Windir% \ lsass.exe
   % Windir% \ NeroDigit16.inf
   % Windir% \ services.exe
   % Windir% \ UNINSTLV16.exe
   % Windir% \ NeroDigit32.inf
   % Temp% \ errir.exe
2. Prikaže polje s sporočilom z naslovom »Aplikacija Win32 - Ne odziva se« v naslovni vrstici.
3. Ustvarite naslednjo datoteko:
   % Windir% \ ulodb3.ini
4. V bazo registracij dodajte naslednje vnose:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
   Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\
   "StubPath" = "% Windir% \ UNINSTLV16.exe"
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
   Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\
   "StubPath" = "% Windir% \ UNINSTLV16.exe"
5. Na vsak odstranljiv in omrežni pogon kopira naslednje tri datoteke:
   % DriveLetter% \ tg_root \ Skype.exe
   % DriveLetter% \ tg_root \ Uninstall.exe
   % DriveLetter% \ autorun.inf
6. Ustvarite naslednjo datoteko:
   % UserProfile% \ feedback.html
7. Zbira zaupne podatke in jih posreduje na vnaprej določen oddaljeni strežnik.
8. Šifrira naslednje imenike in datoteke v njih:
   % Windir%
   % Uporabniški profil%
   % ProgramFiles%
   % SystemDrive% \ Boot
   % SystemDrive% \ ProgramData \ Microsoft
   % SystemDrive% \ users \ Vsi uporabniki \ Microsoft
   Kodira šifrirane datoteke s pripono .XNC.
   Črv ne šifrira datotek z eno od naslednjih razširitev:
   . COM
   .cab
   . COM
   . Dll
   ini
   .LNK
   .LOG
   .Reg
   .SYS
   .XNC
9. Ustvarite naslednje datoteke:
   % SystemDrive% \ [pot] \ PREBERITE TAJ.txt
   % SystemDrive% \ [pot] \ !!!! PREBERITE TO !!!!. Txt