Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

Trojan.Win32.Filecoder - szyfruje i zmienia nazwy plików

Jest to koń trojański szyfrujący i zmieniający nazwy plików zapisanych w podkatalogach lokalnych twardych dysków oraz napędów sieciowych. Został stworzony przy pomocy środowiska programistycznego Delphi, a jego rozmiar to 137 KB. Trojan rozprzestrzenia się poprzez pocztę elektroniczną, pod postacią użytecznego narzędzia.

Instalacja

Trojan kopiuje się do folderu systemowego Windows z nazwą NTFS.exe i tworzy następujący klucz w rejestrze systemowym:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run] "FsystemTracer"="C:\\WINDOWS\\system\\NTFS.exe"

Następnie szkodnik uruchamia utworzoną kopię.

Funkcje dodatkowe

Trojan modyfikuje pliki EXE zapisane we wszystkich katalogach (z wyłaczeniem folderu Windows) zmieniając ich nazwy, po czym tworzy własną kopię pod oryginalną nazwą atakowanego pliku:

"EXEADDED" + stara nazwa pliku

W przypadku pozostałych plików trojan stosuje mechanizm szyfrujący oraz zmieniający nazwy. Jeżeli atakowany plik jest już zakodowany szkodnik może jedynie zmienić jego nazwę:

"FILEISENCODED" + stara nazwa pliku

Dodatkowo trojan tworzy 50 plików posiadających uszkodzone nazwy. Pliki te zawierają komunikaty zapisane w języku rosyjskim.



 2002-09-02  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych