Стабилизаторы напряжения VOLTER - новости

08.12.2011

Компания Dr.Web предупреждает о новой вредоносной программе

Компания Dr.Web заявляет о возникновении новой модификации программы-блокиратора системы (вымогателя) Trojan.MBRlock, изменяющей MBR(Master Boot Record).

Этму вирусу, прсвоено наименование Trojan.MBRlock.17, он отличается от предшественников тем, что записывает в случайные сектора свои компоненты, а ключ разблокировки закодирован и не хранится в открытом виде.

Особенность троянцев семейства Trojan.MBRlock заключается в том, что эти трояны изменяют загрузочную запись Windows MBR, при этом сохраняя оригинальную MBR в другой части жесткого диска, для последующей разблокировки. Таким образом, вредоносная програма получает возможность загрузится перед операционной системой и заблокировать ее. После этого на мониторе отображается сообщение, с требованиями вымогателей: заплатить определенную сумму, для разблокировки системы.

Trojan.MBRlock.17 запускаясь на компьютере жертвы, сохраняет себя во временную папку, имя папки выбирается случайным образом, затем вредоносная программа запускает процесс calc.exe (стандартную программу Windows - калькулятор) и встраивает в него свой код. После этого встроенный вирус  Trojan.MBRlock.17 создает файл в папке %APPDATA%\Adobe\Update\, который впоследствии удаляется, но интегрирует свой код в процесс explorer.exe. А процесс explorer.exe уже инфицирует MBR и пытается завершить работу операционнной системы. Trojan.MBRlock.17 в отличие от своих предшественников, записывает свои компоненты, такие как выводимый текст с требованиями вымогателей, шрифты и не модифицированную MBR, в случайные сектора жесткого диска, то есть в его коде предусмотрены не константы, как было у его предшественников, а переменные, отвечающие за выбор таких секторов. Ключ разблокировки вирус также нехранится в открытом виде: он создается динамически на основе различных параметров. Сигнатура данной вредоносной программы уже добавлена в вирусные базы компании "Доктор Веб".

Возврат к списку