Cine ii mai sperie pe utilizatorii de calculatoare din Romania?
calendar_month 29 Mar 2010, 20:41
Romania a fost, zilele acestea, atat sursa, cat si victima unui nou tip de atac informatic, cauzat de aparitia lui Gen:Trojan.ShellStartup.GGW@aCmzJwli - cel mai recent scareware / ransomware marca romaneasca. Familia ransomware include aplicatii care „sechestreaza” date esentiale de pe calculatorul infectat (sau restrictioneaza total accesul utilizatorului la acesta) pana la efectuarea unei plati catre atacator.
Scris in Delphi, acest troian de 512 KB se deghizeaza sub aparenta unei arhive zip. La prima executie, troianul isi creeaza o cheie proprie in HKEY_LOCAL_MACHINE\\\\\\\\\\\\\\\\SOFTWARE\\\\\\\\\\\\\\\\keytz\\\\\\\\\\\\\\\\ si seteaza valoarea Run la 0. Aceasta valoare reprezinta numarul de rulari.
Dupa infectare, utilizatorul primeste un mesaj prin care este anuntat ca sunt instalate aplicatii pirat pe sistemul sau. De asemenea, fereasta contine urmatoarele avertismente:
a) Sistemul este blocat, iar pentru deblocare, victima acestui scareware va trebui sa achizitioneze o o cartela Cosmote PrePay de 3 euro si sa trimita codul de reincarcare la numarul de telefon 0769******. Imediat dupa trimiterea codului valid, victima va primi o parola de deblocare, care va dezactiva restrictiile.
b) in cazul in care utilizatorul va incerca sa recurga la resetarea calculatorului, dupa doua astfel de operatiuni, datele de pe toate partitiile sistemului vor fi sterse. La fiecare re-pornire, troianul va incrementa valoarea salvata in cheia Run.
c) Chiar daca utilizatorul decide sa reinstaleze sistemul de operare, restrictiile vor reaparea la deschiderea primului fisier.
Desi pare foarte periculos, Gen:Trojan.ShellStartup.GGW@aCmzJwli nu este decat un instrument de intimidare. Impactul asupra calculatorului infectat se rezuma la ascunderea oricarei ferestre a sistemului de operare care nu are titlul “!!!ALERT!!!” atunci cand utilizatorul incearca sa o acceseze. Acest procedeu se bazeaza pe un timer care verifica fiecare fereastra activa in parte.
Aplicatia poate fi deblocata cu parola MASTER123, care trebuie tastata in campul special din fereastra troianului. Dupa introducerea codului corect, aceasta se inchide si initializeaza un script pentru a se auto-elimina din sistem.
Daca Gen:Trojan.ShellStartup.GGW@aCmzJwli este un mai mult deranjant decat distructiv, acest lucru nu se aplica la cele mai recente amenintari informatice „made in Romania”, care sunt nu numai extrem de distructive, dar si foarte atent programate: Win32.Worm.Delf.NFW , care cauta si sterge toate fisierele MP3 care contin titluri de manele si mai recentul Win32.Worm.IM.J , care se propaga prin serviciile de mesagerie instant prin mesaje ce directioneaza utilizatorul catre site-uri ce gazduiesc malware. Win32.Worm.IM.J este capabil sa detecteze cuvinte-cheie folosite de potentiala victima si sa poarte o scurta conversatie cu aceasta.
Scris in Delphi, acest troian de 512 KB se deghizeaza sub aparenta unei arhive zip. La prima executie, troianul isi creeaza o cheie proprie in HKEY_LOCAL_MACHINE\\\\\\\\\\\\\\\\SOFTWARE\\\\\\\\\\\\\\\\keytz\\\\\\\\\\\\\\\\ si seteaza valoarea Run la 0. Aceasta valoare reprezinta numarul de rulari.
Dupa infectare, utilizatorul primeste un mesaj prin care este anuntat ca sunt instalate aplicatii pirat pe sistemul sau. De asemenea, fereasta contine urmatoarele avertismente:
a) Sistemul este blocat, iar pentru deblocare, victima acestui scareware va trebui sa achizitioneze o o cartela Cosmote PrePay de 3 euro si sa trimita codul de reincarcare la numarul de telefon 0769******. Imediat dupa trimiterea codului valid, victima va primi o parola de deblocare, care va dezactiva restrictiile.
b) in cazul in care utilizatorul va incerca sa recurga la resetarea calculatorului, dupa doua astfel de operatiuni, datele de pe toate partitiile sistemului vor fi sterse. La fiecare re-pornire, troianul va incrementa valoarea salvata in cheia Run.
c) Chiar daca utilizatorul decide sa reinstaleze sistemul de operare, restrictiile vor reaparea la deschiderea primului fisier.
Desi pare foarte periculos, Gen:Trojan.ShellStartup.GGW@aCmzJwli nu este decat un instrument de intimidare. Impactul asupra calculatorului infectat se rezuma la ascunderea oricarei ferestre a sistemului de operare care nu are titlul “!!!ALERT!!!” atunci cand utilizatorul incearca sa o acceseze. Acest procedeu se bazeaza pe un timer care verifica fiecare fereastra activa in parte.
Aplicatia poate fi deblocata cu parola MASTER123, care trebuie tastata in campul special din fereastra troianului. Dupa introducerea codului corect, aceasta se inchide si initializeaza un script pentru a se auto-elimina din sistem.
Daca Gen:Trojan.ShellStartup.GGW@aCmzJwli este un mai mult deranjant decat distructiv, acest lucru nu se aplica la cele mai recente amenintari informatice „made in Romania”, care sunt nu numai extrem de distructive, dar si foarte atent programate: Win32.Worm.Delf.NFW , care cauta si sterge toate fisierele MP3 care contin titluri de manele si mai recentul Win32.Worm.IM.J , care se propaga prin serviciile de mesagerie instant prin mesaje ce directioneaza utilizatorul catre site-uri ce gazduiesc malware. Win32.Worm.IM.J este capabil sa detecteze cuvinte-cheie folosite de potentiala victima si sa poarte o scurta conversatie cu aceasta.
Noutati
