с сайта доктора
Службой технической поддержки Dr. Web® зафиксированы многочисленные случаи заражений новой троянской программой шифрующей документы на компьютерах пользователей. Данная троянская программа определяется средствами антивирусного пакета Dr. Web ® как Trojan.Encoder. Запись о данном вредоносном коде внесена в антивирусную базу Dr. Web ®, 13 января 2007года. Краткое описание Trojan.Encoder:
Троянская программа приходит на компьютеры потенциальных жертв по электронной почте, в виде вложения к электронному письму.
После запуска вложения пользователем троянская программа активизируется на компьютере – жертве и записывает свою копию под именем Filename.exe в системную директорию.
Создает ключ реестра, для автоматического запуска своей копии в качестве сервиса операционной системы:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
services = Filename.exe
После запуска своей копии, троянская программа сканирует локальные диски компьютера – жертвы находя файлы со следующими расширениями:
"rtf" ,"txt" ,"pdf" ,"csv" ,"frm" ,"css" ,"xls" ,
"mdb" ,"dbf" ,"dbt" ,"db" ,"safe" ,"flb" ,"pst" ,"pwl" ,"pwa" ,"pak" ,"rar" ,
"zip" ,"arj" ,"gz" ,"tar" ,"sar" ,"htm" ,"html" ,"cgi" ,"pl" ,"kwm" ,"pwm" ,
"cdr" ,"dbx" ,"mmf" ,"tbb" ,"xml " ,"frt" ,"frx" ,"gtd" ,"rmr" ,"chm" ,"mo" ,
"man" ,"c" ,"cpp" ,"h" ,"pgp" ,"gzip" ,"lst" ,"pfx" ,"p12" ,"db1" ,"db2" ,
"cnt" ,"sig" ,"css" ,"arh" ,"pem" ,"key" ,"prf" ,"old" ,"rnd" ,"prx"
Шифрует все найденные файлы, с таким расширением используя алгоритм RSA.
Размещает на жестком диске файлы с readme.txt следующего содержания:
Some files are coded by RSA method.
To buy decoder mail: ********34@rambler.ru
with subject: RSA 5 68243170728578411
Отличительные особенности Trojan.Encoder.6:
Данная версия троянской программы использует ключи шифрования большой длины - 260 бит, что затрудняет процесс дешифровки файлов.
На жестком диске компьютера жертвы размещаются текстовые файлы следующего содержания:
Some files are coded by RSA method.
To buy decoder mail: k47674@mail.ru
with subject: REPLY
Добавлено (2007-01-14, 11:06 Pm)
---------------------------------------------
кстати этот на нашем форуме кажись Trojan-Downloader.JS.Psyme.di