Virus Messenger - Worms erpresst Benutzer

Der Wurm Randsom.A lähmt infizierte Computer, indem er die darauf gespeicherten Dateien verschlüsselt und dann versucht, Geld zu verdienen.

Symantec und das Isidor Security Center berichteten, dass ein weiterer Erpresserwurm seine Eroberung begonnen habe. DAS Zufällig.A Nachdem Sie einige Dateien erstellt und die Registrierung geändert haben, beginnt die genannte Malware, vertrauliche Informationen zu sammeln. Es lädt die erfassten Informationen über das Internet auf einen vordefinierten Remote-Server hoch. Der Wurm verschlüsselt dann die Dateien in Windows, Programmdateien und anderen Verzeichnissen, die für den Betrieb von Windows wichtig sind. Versuchen Sie dann, den Benutzer davon zu überzeugen, die Software zu kaufen, die zum Entschlüsseln der Dateien erforderlich ist. Randsom.A versucht, über Wechsellaufwerke und Netzwerkfreigaben auf so viele Computer wie möglich zuzugreifen.

Wenn der Wurm Randsom.A startet, führt er die folgenden Aktionen aus:

1. Erstellen Sie die folgenden Dateien:
   % Windir% \ lsass.exe
   % Windir% \ NeroDigit16.inf
   % Windir% \ services.exe
   % Windir% \ UNINSTLV16.exe
   % Windir% \ NeroDigit32.inf
   % Temp% \ errir.exe
2. Zeigt ein Meldungsfeld mit „Win32-Anwendung – antwortet nicht“ in der Titelleiste an.
3. Erstellen Sie die folgende Datei:
   % Windir% \ ulodb3.ini
4. Fügen Sie der Registrierungsdatenbank die folgenden Einträge hinzu:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
   Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\
   "StubPath" = "% Windir% \ UNINSTLV16.exe"
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
   Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\
   "StubPath" = "% Windir% \ UNINSTLV16.exe"
5. Es kopiert die folgenden drei Dateien auf jedes Wechsel- und Netzlaufwerk:
   % DriveLetter% \ tg_root \ Skype.exe
   % DriveLetter% \ tg_root \ Uninstall.exe
   % DriveLetter% \ autorun.inf
6. Erstellen Sie die folgende Datei:
   % UserProfile% \ feedback.html
7. Es sammelt vertrauliche Daten und überträgt sie an einen vordefinierten Remote-Server.
8. Es verschlüsselt die folgenden Verzeichnisse und die darin enthaltenen Dateien:
   % Windir%
   % Benutzerprofil%
   % Programfiles%
   % SystemDrive% \ Boot
   % SystemDrive% \ ProgramData \ Microsoft
   % SystemDrive% \ Benutzer \ Alle Benutzer \ Microsoft
   Es codiert verschlüsselte Dateien mit der Erweiterung .XNC.
   Der Wurm verschlüsselt keine Dateien mit einer der folgenden Erweiterungen:
   . COM
   .CAB
   . COM
   .DLL
   .INI
   LNK
   .LOG
   .REG
   .SYS
   .XNC
9. Erstellen Sie die folgenden Dateien:
   % SystemDrive% \ [Pfad] \ DIESE.txt LESEN
   % SystemDrive% \ [Pfad] \ !!!! LESEN SIE DIES !!!!