Главная > Информационная безопасность. Хакерство > Очередной вымогатель денег через СМС.

Очередной вымогатель денег через СМС.

ВирусВ прошлый раз я уже описывал лечение малваря, вируса, трояна, кому как угодно, который вымогает деньги — просит отправить СМС, чтобы компьютер разблокировался. Об этом можно почитать тут. На этот раз, мне попался очередной, похожий малварь. Каким-то образом он заседает в каталог профиля юзера: C:\Users\имя_юзера\Local Settings\Temp\ в виде файлов dasA23.bin, dasA23.rtk, dasA23.tmp. Причем dasA23.tmp — основной, на самом деле — это exe’шник. Хэш MD5 для этих файлов:

6c957d5b884f838cc1c0807efc01192e *dasA23.bin
6c0d28f127149a8840ee960e1c6e7cb9 *dasA23.rtk
053c58b588e5a8beab327ad7bd9d5ba1 *dasA23.tmp

Вообщем-то все стандартно: малварь блокирует диспетчер задач при помощи политик, возможно ещё что-то.

Текст малваря следующий:

Уведомление о необходимости оплаты

Вам был предоставлен пробный (1 часовой) бесплатный доступ к просмотру эротического видео.

Уведомление будет появляться до тех пор, пока не будет произведена оплата

Чтобы произвести оплату, необходимо отправит смс

с текстом 590912800 на  номер 9691

Лечимся: убиваем процесс, например, при помощи Process Explorer’а из пакета Windows Sysinternals, удаляем файлы и поправляем реестр.

Файлы отправил на virustotal.com, для просмотра их состояния переходим по ссылке: virustotal.com.

Также файлы отправлены в Лабораторию Касперского, жду ответа и добавления в базы.

Ну и гвоздь программы (кликабельно):

Малварь

UPD 16.12.2009: Ответила Лаборатория Касперского:

Hello,

dasA23.tmp_ — Trojan-Ransom.Win32.PogBlock.mp

New malicious software was found in this file. It’s detection will be included in the next update. Thank you for your help.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.


Best regards,
Virus analyst, Kaspersky Lab.
e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/

http://www.kaspersky.com/virusscanner — free online virus scanner.
http://www.kaspersky.com/helpdesk.html — technical support.

Ждем новые базы, которые будут детектировать гада :)

(с) Denis Urasov

  1. 16 Декабрь 2009 в 08:57 | #1

    «Доктор Веб» помогает избавиться от троянца, блокирующего доступ к системе. Для этого зайдите на страницу: http://news.drweb.com/show/?i=304&c=9&p=0 и введите текст СМС, получите ответный код, для разблокировки малваря.

  1. Пока что нет уведомлений.