Hai nhà phân tích Mikko S. và Marko thuộc bộ phận nghiên cứu malware của F-Secure sau khi khai thác CSDL, họ đã phát hiện một biến thể mới của Zeus - Zeus 2.x.
Nó bao gồm một lệnh backdoor mới được gọi là: win_unlock. Rất thú vị ở loại biến thể mới này là nó có chút giống với cách thức hoạt động của malware ransomware.
Ransomware (trong một vài trường hợp còn gọi là cryptoviruses, cryptotrojans hoặc cryptoworms) là một loại thuộc họ malware. Cách thức hoạt động của nó là hạn chế user truy cập vào hệ thống máy tính mà nó lây nhiễm. Sau đó dụ dỗ người dùng trả tiền cho tác giả của phần mềm diệt malware giả mạo để hạn chế được loại bỏ.
Khi biến thể đặc biệt này được thực thi, nó sẽ mở Internet Explorer với một trang cụ thể (lex.creativesandboxs.com / locker / lock.php). Đồng thời chặn không cho người dùng làm bất cứ điều gì khác trên hệ thống đã bị nhiễm. Sau khi trang được mở, user sẽ nhận được một số tin nhắn kiểu như tin nhắn tống tiền.
Nhìn vào các mã tương ứng với một lệnh win_unlock nhận được, thì rõ ràng các thông tin mở khóa được lưu trữ vào registry.
Code:
Hướng dẫn cách làm để del bằng tay
1. Boot vào hệ thống trong chế độ Safe Mode.
2. Vào Regedit -> HKEY_CURRENT_USER: tạo new key với tên syscheck
3. Từ syscheck -> Chọn giá trị DWORD mới
4. Rename cho giá trị DWORD là Checked
5. Set Value data cho Checked = 1.
6. Reboot.
SHA1: 03f0c26c6ba77c05152a1e0cc8bc5657f0c83119
5. Set Value data cho Checked = 1.
6. Reboot.
SHA1: 03f0c26c6ba77c05152a1e0cc8bc5657f0c83119
Tham khảo: f-secure.com
Không có nhận xét nào:
Đăng nhận xét