微点交流论坛 - 反病毒 - [敲诈者] 俄国流氓强制断网乱收费 Win32/RansomSMS.AH

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 反病毒 » [敲诈者] 俄国流氓强制断网乱收费 Win32/RansomSMS.AH

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#1 [敲诈者] 俄国流氓强制断网乱收费 Win32/RansomSMS.AH

最近网络上出现了一种新型的勒索方式，俄罗斯网络流氓们开发了一种名为uFast Download Manager的新型流氓软件，这种病毒软件可以切断用户的互联网连接，并要求用户向一个指定的俄罗斯境内电话号码发送收费短信，通过这种卑鄙的方式来敛财。

CA Community：

[ Figure 1 – Russian Ransomware GUI ]

感染了这种病毒的用户会收到一条以俄文撰写的信息，这条信息要求用户发送一条收费短信，以获取这款流氓软件的注册码，信息同时还警告称由于用户违反了这款流氓软件的授权协议，因此其互联网连接已被屏蔽，需要取得软件注册码后才能重新开启互联网连接。

过去曾有其它种类的流氓软件会将用户的文档进行加密和屏蔽处理。2008年一月份，有一款流氓软件会锁住用户的Windows操作系统，并要求用户发送收费短信给指定的号码。不过这款软件似乎与俄罗斯无关，而且也不会切断用户的互联网连接，不过它和这次的流氓软件行为非常相似。

杀软厂商CA将这种病毒标记为RansomSMS-AH病毒，该厂商并在自己的博客上详细解释了这款流氓软件的工作原理，并提供了感染这种病毒的系统截图。目前这家杀毒厂商已经开发出了一款序列号生成器，使用这种生成器生成的软件序列号，用户无需发送收费短信便可“激活”自己的互联网连接。

CA ISBU created anactivation code generatorfor this particular ransomware.：
http://community.ca.com/blogs/se ... _ActivationCode.zip

[Figure 2 – Bundled application "uFast Download Manager"]

[Figure 3 – Unlocked Desktop]

Submission received: 8 November 2009, 12:00:02
Processing time: 5 min 12 sec
Submitted sample:
File MD5: 0xAD7A8AC95233C8CF2BD015CE721AA0E9
File SHA-1: 0x57115E2DA6C9FC3F7C7410C94E441F5DE2C190FE
Filesize: 233,472 bytes

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit =

The following files were created in the system:

1 %CommonPrograms%\uFast Download Manager\uFastManager.lnk  674 bytes
MD5: 0x880C9A43BA6B8582197A7EB2BF684E65
SHA-1: 0x3277D568C0999CAE5F923CED2F6208495FD9423E (not available

2 %CommonPrograms%\uFast Download Manager\Uninstall.lnk  665 bytes
MD5: 0xB196C851D6BE9407BED203CAC181B69C
SHA-1: 0xA5A9D909CA7C30CD46B2CCA12365E5EE22712721

3 %AppData%\uFast Download Manager\PropetyuFastManager.den  28 bytes
MD5: 0xDF75461F0F8617ED2400339F87AFF451
SHA-1: 0x88F31EF085785286EDB71B1E9FCF0CB1E38520FE

4 %AppData%\uFast Download Manager\PropetyuFastManager.exe  96,256 bytes
MD5: 0x2CE9D15F7B43B0DEC6C3935DE0743113
SHA-1: 0x50CF913875F1447F894CF795A549DF3C84F8F402

5 %Temp%\tr1.tmp  387,699 bytes
MD5: 0xF8D6A75379FC0A108976362399184BE4
SHA-1: 0x8D154ECB5F072C9B13082F1BEB9179D50B7C3739

6 %ProgramFiles%\uFast Download Manager\uFastManager.exe  244,224 bytes
MD5: 0x5F07228492B316220DE3D34B3EEF5D49
SHA-1: 0xA9006D8D288194DD0F75B6E51866FD9FB39E870C

7 %ProgramFiles%\uFast Download Manager\uninstall.exe  47,134 bytes
MD5: 0x3C2905F1C0FE23A8523E683EE72847CB
SHA-1: 0x60ADBDE0AD5B99DC8ACF4E72830E26CA7171FE50

8 %System%\deleteinstall.bat  141 bytes
MD5: 0x151C1118FC535B165D5F7375EE61F129
SHA-1: 0xE79C42CD2E7B17E725D1BC26AE28B67ADC4DADE0

9 [file and pathname of the sample #1]  233,472 bytes
MD5: 0xAD7A8AC95233C8CF2BD015CE721AA0E9
SHA-1: 0x57115E2DA6C9FC3F7C7410C94E441F5DE2C190FE (not available)

样本没找到

[ Last edited by 点饭的百度空间 on 2009-12-10 at 10:39 ]

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2009-12-2 14:04

lsj301
银牌会员

积分 1388
发帖 1382
注册 2009-3-16
来自甘肃兰州

#2

你说啥事不发生？

※ ※ ※ 本文纯属【lsj301】个人意见，与【微点交流论坛】立场无关※ ※ ※

我们一直在默默支持微点!

2009-12-2 15:07

别里科夫
注册用户

积分 149
发帖 147
注册 2006-7-19

#3

老毛子真强，明目张胆的要你往指定地方付钱。。。

※ ※ ※ 本文纯属【别里科夫】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-12-3 17:10

燕赵之士
高级用户

积分 658
发帖 658
注册 2008-11-27

#4

不知微点能否拦截此病毒？

※ ※ ※ 本文纯属【燕赵之士】个人意见，与【微点交流论坛】立场无关※ ※ ※

人到无求品自高

2009-12-7 14:37

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#5

应该没问题

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2009-12-10 10:38

ye_baby
新手上路

积分 5
发帖 5
注册 2009-12-12

#6

这那是病毒 o o
敲诈简直 o o

※ ※ ※ 本文纯属【ye_baby】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-12-12 12:56

jack_ps_wang
注册用户

积分 113
发帖 113
注册 2007-5-9

#7

搞笑呢，能开发一个序列号生成器，却开发不了一个专杀。。。。。。。。。

※ ※ ※ 本文纯属【jack_ps_wang】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-12-17 11:17

苏霍伊
新手上路

积分 14
发帖 14
注册 2009-10-20

#8

怪事年年有，今年特别多！

※ ※ ※ 本文纯属【苏霍伊】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-12-18 21:49

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号