reclame

marți, 30 martie 2010

Virus troian de România

România a fost, zilele acestea, atât sursa, cât şi victima unui nou tip de atac informatic, cauzat de apariţia lui Gen:Trojan.ShellStartup.GGW@aCmzJwli - cel mai recent scareware / ransomware marcă românească. Familia ransomware include aplicaţii care „sechestrează" date esentiale de pe calculatorul infectat (sau restricţionează total accesul utilizatorului la acesta) până la efectuarea unei plăţi către atacator.

Scris în Delphi, acest troian de 512 KB se deghizează sub aparenţa unei arhive zip. La prima execuţie, troianul îşi creează o cheie proprie în HKEY_LOCAL_MACHINE\SOFTWARE\keytz\ şi setează valoarea Run la 0. Această valoare reprezintă numărul de rulări.

După infectare, utilizatorul primeşte un mesaj prin care este anunţat că sunt instalate aplicaţii pirat pe sistemul său. De asemenea, fereastra conţine următoarele avertismente:

  • a) Sistemul este blocat, iar pentru deblocare, victima acestui scareware va trebui să achiziţioneze o cartelă Cosmote PrePay de 3 euro şi să trimită codul de reîncărcare la numărul de telefon 0769******. Imediat după trimiterea codului valid, victima va primi o parolă de deblocare, care va dezactiva restricţiile.
  • b) În cazul în care utilizatorul va încerca să recurgă la resetarea calculatorului, după două astfel de operaţiuni, datele de pe toate partiţiile sistemului vor fi şterse. La fiecare re-pornire, troianul va incrementa valoarea salvată în cheia Run.
  • c) Chiar dacă utilizatorul decide să reinstaleze sistemul de operare, restricţiile vor reapărea la deschiderea primului fişier.
Deşi pare foarte periculos, Gen:Trojan.ShellStartup.GGW@aCmzJwli nu este decât un instrument de intimidare. Impactul asupra calculatorului infectat se rezumă la ascunderea oricărei ferestre a sistemului de operare care nu are titlul "!!!ALERT!!!" atunci când utilizatorul încearcă să o acceseze. Acest procedeu se bazează pe un timer care verifică fiecare fereastră activă în parte.

Aplicaţia poate fi deblocată cu parola MASTER123, care trebuie tastată în câmpul special din fereastra troianului. După introducerea codului corect, aceasta se închide şi iniţializează un script pentru a se auto-elimina din sistem.

Sursa: bitdefender.ro