Novi ''policijski'' Trojanac se odupire pokušajima uklanjanja sa zaraženog računara

Opisi virusa, 31.01.2013, 07:15 AM

Novi ''policijski'' Trojanac se odupire pokušajima uklanjanja sa zaraženog računara

Stručnjaci firme AVG, proizvođača antivirusa, upozoravaju na novi malver iz grupe takozvanih „policijskih Trojanaca“ koji radi sve ono što i drugi ranije viđeni malveri ovog tipa, ali je po nečemu ipak jedinstven - on onemogućava pokušaje da se ukloni blokada sa fajlova kojima korisnik računara ne može da pristupi zbog infekcije.

Trojanac prikazuje uobičajeno, dobro poznato upozorenje da je korisnik počinio neko krivično delo i da će računar ostati zaključan a fajlovi šifrirani sve dok ne plati kaznu za svoj prestup.

U većini slučajeva infekcije policijskim Trojancima, malver se može pronaći na računaru i ukloniti bez plaćanja kazne za navodni prestup. U ovom slučaju, Trojanac šifrira slike, dokumenta i izvršne fajlove kako bi onemogućio pokušaje da bude uklonjen sa računara. Sistem ipak nije u potpunosti blokiran, što znači da Windows-ovi fajlovi nisu šifrovani, što nije uobičajeno za ovakve Trojance. Zaraženi računari i dalje mogu da funkcionišu ali podaci i mnogi programi neće raditi.

Nakon pokretanja malicioznog programa, malver se nasumično umnožava i ubacuje svoj kod u sistemski proces. Sistemski proces izvršava kopiju koda iz „%TEMP% foldera, kreirajući ctfmon.exe ili scvhost.exe procese sa ubačenim kodom.

Malver najpre generiše jedinstveni ID računara, a zatim koristi taj ID i niz „Qqasd123zxc“ da bi proizveo ključ za enkripciju sa kripto API funkcijama ka što su „advapi32!CryptHashData“ i „advapi32!CryptDeriveKey“ tako da napadač može kreirati ključ svaki put kada koristi taj niz. Malver potom šalje zahteve sa ID-jem računara serveru za komandu i kontrolu, šifrira komunikaciju sa serverom prvim ključem i omogućava Trojancu da ih dešifrira na zaraženim računarima.

Drugi ključ je kreiran sa „advapi32!CryptGenKey“. Ta funkcija će svaki put kada se koristi kreirati nasumično izabrani ključ koji za razliku od prvog ključa ne može biti ponovo kreiran.

Lista fajlova koje malver šifrira je definisana, i oni su šifrirani sa „advapi32!CryptEncrypt“ uz pomoć drugog ključa pre nego što se poznato obaveštenje o tome da je računar otet zbog navodnog korisnikovog prestupa pojavi na ekranu.

U tom trenutku, napadačima drugi ključ i može šifrirati i dešifrovati fajlove ukoliko tako odluči. Malver takođe onemogućava regedit, task manager i msconfig. AVG, čiji su stručnjaci upozorili korisnike na novog Trojanca, detektuje ovaj malver kao „Trojan horse Generic31.LBT“.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje