Вредоносная программа, предназначенная для несанкционированной пользователем модификации данных на компьютере-жертве таким образом, чтобы сделать невозможным работу с ними, либо блокировать нормальную работу компьютера. После того, как данные «взяты в заложники» (блокированы), пользователю выдвигается требование выкупа.Озвученную в требовании сумму жертва должна передать злоумышленнику, после чего злоумышленник обещает выслать программу для восстановления данных или нормальной работоспособности компьютера.
Технические деталиДанная троянская библиотека представляет собой Internet Explorer Browser Helper Object (BHO), стартующий при запуске Internet Explorer, который следит за активностью пользователя в интернете. Имеет размер 315904 байта.ИнсталляцияПри регистрации создает в системе OLE объект с именем "ConnectionServices". При этом в системном реестре создаются следующие ключи: [HKCR\CLSID\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]
[HKCR\elonnmdsturdsqm.Melonnmdsturd]
[HKCR\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]
[HKCR\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]
[HKLM\SOFTWARE\Classes\CLSID\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}] Троянец отображается в диалоге надстроек Internet Explorer:
Деструктивная активностьПри открытии любой веб-страницы в Internet Explorer, в нижней части экрана отображается баннер порнографического содержания, предлагающий отключить себя, послав СМС на короткий платный номер:
Рекомендации по удалениюЕсли ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: - Отключить в опциях надстроек Internet Explorer надстройку "AAC-SLS Media Codec".
- Закрыть все окна программы Internet Explorer.
- Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить созданные трояном ключи системного реестра:
[HKCR\CLSID\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]
[HKCR\elonnmdsturdsqm.Melonnmdsturd]
[HKCR\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{630CBBEB-17E4 -47B4-B74B-BCAAC7EF52AB}]
[HKCR\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{630CBBEB-17E4 -47B4-B74B-BCAAC7EF52AB}]
[HKLM\SOFTWARE\Classes\CLSID\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}] - Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
|