Trojan.Win32.Filecoder

Jest to ko艅 troja艅ski szyfruj膮cy i zmieniaj膮cy nazwy plik贸w zapisanych w podkatalogach lokalnych dysk贸w twardych oraz nap臋d贸w sieciowych. Zosta艂 stworzony przy pomocy 艣rodowiska programistycznego Delphi, a jego rozmiar to 137 KB. Trojan rozprzestrzenia si臋 poprzez poczt臋 elektroniczn膮, pod postaci膮 u偶ytecznego narz臋dzia.

Instalacja

Trojan kopiuje si臋 do folderu systemowego Windows z nazw膮 NTFS.exe i tworzy nast臋puj膮cy klucz w rejestrze systemowym:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun] "FsystemTracer"="C:\WINDOWS\system\NTFS.exe"

Nast臋pnie szkodnik uruchamia utworzon膮 kopi臋.

Funkcje dodatkowe

Trojan modyfikuje pliki EXE zapisane we wszystkich katalogach (z wy艂aczeniem folderu Windows) zmieniaj膮c ich nazwy, po czym tworzy w艂asn膮 kopi臋 pod oryginaln膮 nazw膮 atakowanego pliku:

EXEADDED + stara nazwa pliku

W przypadku pozosta艂ych plik贸w trojan stosuje mechanizm szyfruj膮cy oraz zmieniaj膮cy nazwy. Je偶eli atakowany plik jest ju偶 zakodowany szkodnik mo偶e jedynie zmieni膰 jego nazw臋:

FILEISENCODED + stara nazwa pliku

Dodatkowo trojan tworzy 50 plik贸w posiadaj膮cych uszkodzone nazwy. Pliki te zawieraj膮 komunikaty zapisane w j臋zyku rosyjskim.