Board logo

标题: [敲诈者] 俄国流氓强制断网乱收费 Win32/RansomSMS.AH [打印本页]
作者: 点饭的百度空间     时间: 2009-12-2 14:04    标题: [敲诈者] 俄国流氓强制断网乱收费 Win32/RansomSMS.AH

最近网络上出现了一种新型的勒索方式,俄罗斯网络流氓们开发了一种名为uFast Download Manager的新型流氓软件,这种病毒软件可以切断用户的互联网连接,并要求用户向一个指定的俄罗斯境内电话号码发送收费短信,通过这种卑鄙的方式来敛财。

CA Community:

[ Figure 1 – Russian Ransomware GUI ]



感染了这种病毒的用户会收到一条以俄文撰写的信息,这条信息要求用户发送一条收费短信,以获取这款流氓软件的注册码,信息同时还警告称由于用户违反了这款流氓软件的授权协议,因此其互联网连接已被屏蔽,需要取得软件注册码后才能重新开启互联网连接。

过去曾有其它种类的流氓软件会将用户的文档进行加密和屏蔽处理。2008年一月份,有一款流氓软件会锁住用户的Windows操作系统,并要求用户发送收费短信给指定的号码。不过这款软件似乎与俄罗斯无关,而且也不会切断用户的互联网连接,不过它和这次的流氓软件行为非常相似。

杀软厂商CA将这种病毒标记为RansomSMS-AH病毒,该厂商并在自己的博客上详细解释了这款流氓软件的工作原理,并提供了感染这种病毒的系统截图。目前这家杀毒厂商已经开发出了一款序列号生成器,使用这种生成器生成的软件序列号,用户无需发送收费短信便可“激活”自己的互联网连接。

CA ISBU created anactivation code generatorfor this particular ransomware.:
http://community.ca.com/blogs/se ... _ActivationCode.zip


[Figure 2 – Bundled application "uFast Download Manager"]


[Figure 3 – Unlocked Desktop]



Submission received: 8 November 2009, 12:00:02
Processing time: 5 min 12 sec
Submitted sample:
File MD5: 0xAD7A8AC95233C8CF2BD015CE721AA0E9
File SHA-1: 0x57115E2DA6C9FC3F7C7410C94E441F5DE2C190FE
Filesize: 233,472 bytes

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit =

The following files were created in the system:

1 %CommonPrograms%\uFast Download Manager\uFastManager.lnk  674 bytes
MD5: 0x880C9A43BA6B8582197A7EB2BF684E65
SHA-1: 0x3277D568C0999CAE5F923CED2F6208495FD9423E (not available

2 %CommonPrograms%\uFast Download Manager\Uninstall.lnk  665 bytes
MD5: 0xB196C851D6BE9407BED203CAC181B69C
SHA-1: 0xA5A9D909CA7C30CD46B2CCA12365E5EE22712721

3 %AppData%\uFast Download Manager\PropetyuFastManager.den  28 bytes
MD5: 0xDF75461F0F8617ED2400339F87AFF451
SHA-1: 0x88F31EF085785286EDB71B1E9FCF0CB1E38520FE

4 %AppData%\uFast Download Manager\PropetyuFastManager.exe  96,256 bytes
MD5: 0x2CE9D15F7B43B0DEC6C3935DE0743113
SHA-1: 0x50CF913875F1447F894CF795A549DF3C84F8F402

5 %Temp%\tr1.tmp  387,699 bytes
MD5: 0xF8D6A75379FC0A108976362399184BE4
SHA-1: 0x8D154ECB5F072C9B13082F1BEB9179D50B7C3739

6 %ProgramFiles%\uFast Download Manager\uFastManager.exe  244,224 bytes
MD5: 0x5F07228492B316220DE3D34B3EEF5D49
SHA-1: 0xA9006D8D288194DD0F75B6E51866FD9FB39E870C

7 %ProgramFiles%\uFast Download Manager\uninstall.exe  47,134 bytes
MD5: 0x3C2905F1C0FE23A8523E683EE72847CB
SHA-1: 0x60ADBDE0AD5B99DC8ACF4E72830E26CA7171FE50

8 %System%\deleteinstall.bat  141 bytes
MD5: 0x151C1118FC535B165D5F7375EE61F129
SHA-1: 0xE79C42CD2E7B17E725D1BC26AE28B67ADC4DADE0

9 [file and pathname of the sample #1]  233,472 bytes
MD5: 0xAD7A8AC95233C8CF2BD015CE721AA0E9
SHA-1: 0x57115E2DA6C9FC3F7C7410C94E441F5DE2C190FE (not available)

样本没找到:lol:

[ Last edited by 点饭的百度空间 on 2009-12-10 at 10:39 ]
作者: lsj301     时间: 2009-12-2 15:07
你说啥事不发生?
作者: 别里科夫     时间: 2009-12-3 17:10
老毛子真强,明目张胆的要你往指定地方付钱。。。
作者: 燕赵之士     时间: 2009-12-7 14:37
不知微点能否拦截此病毒?
作者: 点饭的百度空间     时间: 2009-12-10 10:38
应该没问题
作者: ye_baby     时间: 2009-12-12 12:56
这那是病毒 o o
敲诈简直 o o
作者: jack_ps_wang     时间: 2009-12-17 11:17
搞笑呢,能开发一个序列号生成器,却开发不了一个专杀。。。。。。。。。
作者: 苏霍伊     时间: 2009-12-18 21:49
怪事年年有,今年特别多!



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn