BAT/Locker [Threat Name] go to Threat

BAT/Locker.C [Threat Variant Name]

Category trojan
Size 250963 B
Detection created Apr 17, 2013
Detection database version 8237
Aliases Trojan-Ransom.BAT.Agent.i (Kaspersky)
Short description

BAT/Locker.C is a trojan that blocks access to the Windows operating system.

Installation

When executed, the trojan creates the following files:

  • %windir%\­system32\­shuster.bat (BAT/Locker.C, 1700 B)

The file is then executed.


The following Registry entries are created:

  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Policies\­System]
    • "LegalNoticeCaption" = "Предупреждение!"
    • "LegalNoticeText" = "Ваша ОС заблокирована !!!  В связи с распространением порно и использование нелецинзионного ПО. Для входа в Вашу ОС отправте SMS на номер 5565 с текстом Unlock . В ответном SMS, придет сообщение с паролем для входа в Вашу ОС, после ввода пароля Вам в течение 3 часов необходимо удалить файлы содержащие порно и деинсталировать пиратское Программное Обеспечение !"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Winlogon]
    • "LegalNoticeCaption" = "Предупреждение!"
    • "LegalNoticeText" = "Ваша ОС заблокирована !!!  В связи с распространением порно и использование нелецинзионного ПО. Для входа в Вашу ОС отправте SMS на номер 5565 с текстом Unlock . В ответном SMS, придет сообщение с паролем для входа в Вашу ОС, после ввода пароля Вам в течение 3 часов необходимо удалить файлы содержащие порно и пиратское Программное Обеспечение !"
Other information

BAT/Locker.C is a trojan that blocks access to the Windows operating system.


To regain access to the operating system the user is asked to send an SMS message to a specified telephone number.


The trojan displays the following dialog boxes:

The trojan can change the user's logon password.


The following passwords are used:

  • 89762153

The trojan may perform operating system restart.

Please enable Javascript to ensure correct displaying of this content and refresh this page.