TROJ_RANSOM.ZD
(Sophos) ,W32/Crypmod.F!tr (Fortinet) , (Fprot) ,VirTool:Win32/CeeInject.gen!KK (Microsoft) ,a variant of Win32/Injector.AXXQ trojan (Eset) , (Panda)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
恶意软件类型:
Trojan
有破坏性?:
没有
加密?:
In the Wild:
是的
概要
如需此「間諜程式」的快速全面一覽,請參閱下面的「安全威脅圖表」。
技术详细信息
安装
它在受感染的系统中植入下列自身副本:
- %Windows%\{random characters}.exe
(注意: %Windows% 是 Windows 文件夹,通常位于 C:\WINDOWS 或 C:\WINNT。)
它留下文本文件,作为索取赎金通知,包含下列内容:
- {Folder Path}\LUTFEN_OKUYUN.inf
它添加下列互斥条目,确保一次只会运行一个副本:
- Bit Torrent Application Instance
自启动技术
它添加下列注册表项,在系统每次启动时自行执行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random key} = "%Windows%\{random characters}.exe"
其他系统修改
它添加下列注册表项:
HKEY_CURRENT_USER\Software\Bit Torrent Application\
Configuration
{random numbers} = "{random hex values}"
文件感染
它避免感染下列文件类型:
- avi
- wav
- mp3
- gif
- ico
- png
- bmp
- inf
- manifest
- chm
- log
- ini
- tmp
- lnk
- cmd
- bat
- scr
- msi
- sys
- dll
- exe
它避免感染包含下列字符串的文件夹:
- AppData
- Application Data
- Cache
- Temp
- Windows
- System Volume Information
解决方案
Step 1
对于Windows ME和XP用户,在扫描前,请确认已禁用系统还原功能,才可全面扫描计算机。
Step 2
确定和终止TROJ_RANSOM.ZD检测到的文件
Step 3
删除该注册表值
注意事项:错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者,请先阅读Microsoft文章,然后再修改计算机注册表。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- {random key} = "%Windows%\{random characters}.exe"
- {random key} = "%Windows%\{random characters}.exe"
- In HKEY_CURRENT_USER\Software\Bit Torrent Application\Configuration
- {random numbers} = "{random hex values}"
- {random numbers} = "{random hex values}"
Step 4
搜索和删除该文件
- {Folder Path}\LUTFEN_OKUYUN.inf
Step 5
使用趋势科技产品扫描计算机,并删除检测到的TROJ_RANSOM.ZD文件 如果检测到的文件已被趋势科技产品清除、删除或隔离,则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。