ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Назад к списку новостей

«Доктор Веб» предупреждает о новой версии Trojan.MBRlock

24 ноября 2011 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о появлении новой модификации программы-вымогателя Trojan.MBRlock, изменяющей загрузочную запись Windows. Это вредоносное приложение, получившее наименование Trojan.MBRlock.17, отличается от предшественников тем, что записывает свои компоненты в случайные сектора и не хранит в открытом виде ключ разблокировки.

Ключевая особенность троянцев семейства Trojan.MBRlock заключается в том, что эти вредоносные программы модифицируют загрузочную запись Windows (Master Boot Record, MBR), сохраняя оригинальную MBR в другой части жесткого диска. Таким образом, троянец получает возможность стартовать раньше операционной системы и блокировать ее штатный запуск. После этого на экран компьютера выводится сообщение, содержащее требования вымогателей: в данном случае за разблокировку компьютера злоумышленники требуют заплатить 400 рублей для жителей России, 120 гривен для жителей Украины или 60 000 белорусских рублей.

Запускаясь на компьютере жертвы, Trojan.MBRlock.17 сохраняется во временную папку со случайным именем, затем троянец запускает процесс calc.exe (стандартную программу «Калькулятор») и встраивает в него свой код. После этого встроенный в процесс calc.exe Trojan.MBRlock.17 создает файл в папке %APPDATA%\Adobe\Update\, который впоследствии удаляется, запускает процесс explorer.exe и копирует свой код в него. В свою очередь, процесс explorer.exe инфицирует MBR и пытается завершить работу Windows. Любопытно, что в отличие от своих предшественников, Trojan.MBRlock.17 записывает свои компоненты, такие как шрифты, выводимый на экран текст и оригинальную MBR, в случайные сектора жесткого диска, то есть способен изменять в своем коде отвечающие за выбор таких секторов константы. Ключ разблокировки троянец также не хранит в открытом виде: он создается динамически на основе ряда параметров. Помимо этого троянец уничтожает таблицу разделов, предварительно сделав копию первого сектора для последующего восстановления. Сигнатура данной угрозы уже добавлена в вирусные базы Dr.Web.

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

Dr.Web © «Доктор Веб»
2003 — 2021

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А