Novi ''policijski'' Trojanac se odupire pokušajima uklanjanja sa zaraženog računara

Opisi virusa, 31.01.2013, 07:15 AM

Novi ''policijski'' Trojanac se odupire pokušajima uklanjanja sa zaraženog računara

Stručnjaci firme AVG, proizvođača antivirusa, upozoravaju na novi malver iz grupe takozvanih „policijskih Trojanaca“ koji radi sve ono što i drugi ranije viđeni malveri ovog tipa, ali je po nečemu ipak jedinstven - on onemogućava pokušaje da se ukloni blokada sa fajlova kojima korisnik računara ne može da pristupi zbog infekcije.

Trojanac prikazuje uobičajeno, dobro poznato upozorenje da je korisnik počinio neko krivično delo i da će računar ostati zaključan a fajlovi šifrirani sve dok ne plati kaznu za svoj prestup.

U većini slučajeva infekcije policijskim Trojancima, malver se može pronaći na računaru i ukloniti bez plaćanja kazne za navodni prestup. U ovom slučaju, Trojanac šifrira slike, dokumenta i izvršne fajlove kako bi onemogućio pokušaje da bude uklonjen sa računara. Sistem ipak nije u potpunosti blokiran, što znači da Windows-ovi fajlovi nisu šifrovani, što nije uobičajeno za ovakve Trojance. Zaraženi računari i dalje mogu da funkcionišu ali podaci i mnogi programi neće raditi.

Nakon pokretanja malicioznog programa, malver se nasumično umnožava i ubacuje svoj kod u sistemski proces. Sistemski proces izvršava kopiju koda iz „%TEMP% foldera, kreirajući ctfmon.exe ili scvhost.exe procese sa ubačenim kodom.

Malver najpre generiše jedinstveni ID računara, a zatim koristi taj ID i niz „Qqasd123zxc“ da bi proizveo ključ za enkripciju sa kripto API funkcijama ka što su „advapi32!CryptHashData“ i „advapi32!CryptDeriveKey“ tako da napadač može kreirati ključ svaki put kada koristi taj niz. Malver potom šalje zahteve sa ID-jem računara serveru za komandu i kontrolu, šifrira komunikaciju sa serverom prvim ključem i omogućava Trojancu da ih dešifrira na zaraženim računarima.

Drugi ključ je kreiran sa „advapi32!CryptGenKey“. Ta funkcija će svaki put kada se koristi kreirati nasumično izabrani ključ koji za razliku od prvog ključa ne može biti ponovo kreiran.

Lista fajlova koje malver šifrira je definisana, i oni su šifrirani sa „advapi32!CryptEncrypt“ uz pomoć drugog ključa pre nego što se poznato obaveštenje o tome da je računar otet zbog navodnog korisnikovog prestupa pojavi na ekranu.

U tom trenutku, napadačima drugi ključ i može šifrirati i dešifrovati fajlove ukoliko tako odluči. Malver takođe onemogućava regedit, task manager i msconfig. AVG, čiji su stručnjaci upozorili korisnike na novog Trojanca, detektuje ovaj malver kao „Trojan horse Generic31.LBT“.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje