Win32.Autorun.LockScreen / Trojan.WinLock

Win32.Autorun.LockScreen / Trojan.WinLock

offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 24 Jul 2007
  • Poruke: 12280
  • Gde živiš: Höganäs, SE

U jučerašnjoj "dozi" crva naleteh na jedan neobičan primerak. Ova konkretna verzija Winlock crva je na ruskom i, kao i ostale do sada primećene varijante, prvenstveno pogađa korisnike u Rusiji.


WinLock je ransomware koji od korisnika zahteva da pošalje SMS (cena oko $10) na neki broj kako bi se dobila šifra za otključavanje.
To doista i funkcioniše, ali samo privremeno - nakon par dana Desktop opet biva zaključan.
Kada do zaključavanja dođe, ono može biti privremeno (kod nekih verzija je 2 sata) ili trajno.

Metod distribucije zavisi od verzije malware-a; tipično su u pitanju fake codec dropperi i, u slučaju varijante koja je ovde prikazana, autorun type dropperi.


Priča počinje, kao i obično, bez mnogo buke. Ubacivanjem flash drive-a dobija se Autoplay prompt:

. . .

"Čudna" slova su posledica korišćenog jezika.


Klik na Ok ili dvoklik na ikonicu drive-a u Windows Exploreru okidaju infekciju.

U početku se ništa problematično ne primeti sem toga što drive neće da se otvori na dvoklik u Win. Exploreru. Takođe, otvaranje nije moguće ni izborom neke druge opcije u padajućem meniju.

Ono što je (na neki svoj, uvrnuti način Smile) zanimljivo, jeste da je autor crva napravio grešku u izradi autorun.inf file-a što za posledicu ima da većina opcija iz shell menija ne može da pokrene malware:





shell\find\comand=md.exe <--- nedostaje jedno slovo.


Pri prvom pokretanju malwarea isti se kopira na hard disk i postavlja sebe kao shell:

============== Running Processes ===============

E:\md.exe <--- droper sa flash drive-a.

============== Pseudo HJT Report ===============

mWinlogon: Shell=%SystemRoot%\system32\user32.exe <--- kopija koja će da lock-uje mašinu

=============== Created Last 30 ================

2010-04-23 22:45:43 111616 ---ha-w- c:\windows\system32\user32.exe

============= FINISH: 0:56:20.46 ===============




U ovom trenutku je Task Manager deaktiviran, no dodatnih simptoma nema.

Nakon restarta stvari postaju neprijatne:


. . . . . .


Ponašanje je isto i u normal i safe modu rada. Task Manager isključen, explorer nije pokrenut.

Sem ako korisnik jako dobro zna sa čime ima posla i šta traži, ovde se priča završava.


Ubacivanje drive-a, klik na OK, restart => mat u tri poteza.

Sam crv definitivno nije hi tech, ali obzirom na način rada, ovo parče malware-a (koga prosečan programer može da napiše uz kafu), je veoma nezgodna zverka.



Video nije idealan, no mislim da se vidi dovoljno.


Kompanije Dr.Web i Symantec su napravile generatore ključeva koji mogu da se iskoriste za pojedine varijante ovog malware:

http://news.drweb.com/show/?i=304&c=9&p=0&lng=en

http://www.symantec.com/business/security_response.....07-1924-99




I, na kraju, malo reklamiranja:

24.4.2010 9:35:55 > Checking F: ( ~2 GB, FAT flash drive )...

>>> F:\autorun.inf > Renamed.

>>> F:\md.exe - Worm > Deleted. (10.04.24. 09.36 md.exe.764324)

Cool



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
Ko je trenutno na forumu
 

Ukupno su 1007 korisnika na forumu :: 39 registrovanih, 4 sakrivenih i 964 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: _Rade, A.R.Chafee.Jr., acatomic, Apok, aramis s, avijacija, bojank, BORUTUS, cikadeda, dankisha, Darko8, doloress, Georgius, havoc995, Joco Skljoco, laki_bb, Lieutenant, ljuba, loon123, mercedesamg, Mercury, milenko crazy north, milos.cbr, miodrag, nenooo, oldtimer, Parker, Povratak1912, radionica1, Romibrat, ruseskij, Shinobi, Smiljke, Stanlio, Stoilkovic, uruk, User98, vaso1, vladas87