Trojan-Ransom.Win32.Blocker.bhst (Kaspersky)
RDN/DNSChanger!d.trojan (McAfee)
Trojan:Win32/Alureon.GQ (Microsoft)
Trojan.Ransomlock.P (Symantec)
Szkodnik potrafi ściągać inne szkodniki na komputer poprzez Internet. Skompresowany jest poprzez XPACK.
Uruchamiany jest z lokalizacji
Kod: Zaznacz cały
%temp%\%variable1%\%variable2%\wow.dll
W części variable pojawia się losowy łańcuch znaków. Potem tworzy plik
Kod: Zaznacz cały
%temp%\%variable1%\%vairable2%\wow64.dll (2560 B, Win54/Olmarik.BD)
Dodaje się do rejestru
Kod: Zaznacz cały
[HKEY_CURRENT_USER\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}] "InProcServer32" = "%temp%\%variable1%\%variable2%\wow.dll"
[HKEY_CURRENT_USER\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}] "InProcServer32" = "%temp%\%variable1%\%variable2%\wow64.dll"
uruchamiany jest proces i wydawana komenda
[code]svchost.exe -k netsvcs
rundll32.exe %temp%\%variable1%\%variable2%\wow64.dll, 0
Na zdalne komputery wysyłane są informacje o systemie.