Virus Messenger - 蠕虫勒索用户
Randsom.A 蠕虫通过加密存储在受感染计算机上的文件然后试图赚钱来瘫痪受感染的计算机。
赛门铁克和 Isidor 安全中心报告说,另一种勒索蠕虫已经开始征服。 这 兰索姆A 创建一些文件并修改注册表后,命名的恶意软件将开始收集机密信息。 它通过 Internet 将获取的信息上传到预定义的远程服务器。 然后蠕虫会加密 Windows、Program Files 和其他对 Windows 运行很重要的目录中的文件。 然后尝试说服用户购买解密文件所需的软件。 Randsom.A 尝试通过可移动驱动器和网络共享来访问尽可能多的计算机。
当 Randsom.A 蠕虫启动时,它会执行以下操作:
- 创建以下文件:
% Windir%\lsass.exe
% Windir% \ NeroDigit16.inf
% Windir%\services.exe
% Windir%\UNINSTLV16.exe
% Windir% \ NeroDigit32.inf
%Temp%\errir.exe - 它会显示一个消息窗口,标题栏中带有文本“Win32 应用程序 - 未响应”。
- 创建以下文件:
%windir%\ulodb3.ini - 将以下条目添加到注册数据库:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\
“StubPath” = “%Windir%\UNINSTLV16.exe”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\
“StubPath” = “%Windir%\UNINSTLV16.exe” - 它将以下三个文件复制到每个可移动和网络驱动器:
% DriveLetter%\tg_root\Skype.exe
% DriveLetter%\tg_root\Uninstall.exe
% DriveLetter% \ autorun.inf - 创建以下文件:
% UserProfile%\feedback.html - 它收集机密数据并将其传输到预定义的远程服务器。
- 它加密以下目录和其中的文件:
% 风笛%
% 用户资料%
% 程序文件%
% 系统驱动器% \ 启动
% SystemDrive% \ ProgramData \ Microsoft
% SystemDrive%\用户\所有用户\微软
提供扩展名为 .XNC 的加密文件。
该蠕虫不会加密具有以下任何扩展名的文件:
。COM
。出租车
。COM
。DLL
.INI文件
.LNK
。日志
。很久以前
.SYS
.XNC - 创建以下文件:
% SystemDrive% \ [路径] \ 阅读 THIS.txt
% SystemDrive% \ [path] \ !!!! 阅读这个 !!!!!!. Txt
