Összefoglaló
A Trojan.Shadowlock.B egy olyan trójai, mely egy zsaroló popup ablakot jelenít meg (ransomware).
Leírás
A trójai a következő registry bejegyzést hozza létre:
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”mshost” = “[DRIVE LETTER]:[CURRENT DIRECTORY][TROJAN FILE NAME].exe”
Módosítja a következő registry bejegyzést:
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer”CleanShutdown” = dword:00000000
A trójai leállítja az alábbi folyamatokat:
- explorer
- taskmgr
- regedit
- cmd
- Msconfig
- rstrui
- Skype
A Trojan.Shadowlock.B egy üzenetet jelenít meg, amelyben egy felmérés kitöltését kéri, aminek fejében a számítógép zárolását feloldja.
A trójai valójában nem zárolja a számítógépet, csak a fent említett folyamatokat állítja le.
Hivatkozások
Egyéb referencia: www.symantec.com