Trojan.XBlocker.Win32
Trojan.XBlocker.Win32-троянська програма, яка блокує роботу комп'ютера і вимагає гроші за відновлення його працездатності.
Методи поширення
Поширюється через файлообмінні Web-сайти і соціальні мережі, маскуючись під деякі корисні програми, зломщики програм, генератори серійних кодів і ключів, і т.п. Чим спонукає користувача завантажити її і запустити в себе на комп'ютері.Також, вона активно поширюється порно-сайтами, під виглядом програми необхідної для перегляду фотографій і відеофайлів.
Функціональні можливості
Після запуску робить 2 копії свого тіла з різними іменами, поміщає їх в папку %ALLUSERSPROFILE% і запускає. Таким чином, в системі одночасно присутні два процеси троянської програми, здатних запускати один одного у разі завершення одного з них.
Троянська програма відстежує запуск програми "Диспетчер завдань" і закриває його. Для автоматичного запуску при кожному старті системи, додає посилання на свої файли в ключ автозапуску системного реєстру:
[HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]
Відключає ukC (User Account Control), змінюючи для цього значення в реєстрі та блокуючи спроби його змінити.
Для перевірки своєї присутності в системі, створює кілька ключів в реєстрі, які використовується для запобігання багаторазового запуску троянської програми на одному комп'ютері.
Деструктивні можливості
Блокує роботу комп'ютера і вимагає гроші (шляхом відправки платного повідомлення по СМС або оплати через платіжні термінали). Натомість зловмисники обіцяють надіслати користувачеві код для розблокування комп'ютера. Часто блокування комп'ютера супроводжується появою на екрані зображення порнографічного характеру, що підштовхує користувача здійснити оплату вигаданого коду як можна швидше. При цьому, заплативши потрібну суму, користувач не отримує ніякого коду, і залишається зі своєю проблемою сам на сам.