BAT_CRYPTOR.C

Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen.

Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden.

Löscht sich nach der Ausführung selbst.

Übertragungsdetails

Wird möglicherweise von der folgenden Malware/Grayware/Spyware von externen Sites heruntergeladen:

• JS_DOWNCRYPT.B

Wird möglicherweise von den folgenden externen Sites heruntergeladen:

• http://www.{BLOCKED}blog.net/photo/blck.keybtc

Installation

Schleust folgende Komponentendateien ein:

• %User Temp%\UNCRYPT.txt
• %Application Data%\Desktop\UNCRYPT.txt
• %User Profile%\Desktop\UNCRYPT.txt
• %System Root%\UNCRYPT.txt
• %User Temp%\client.keybtc
• %User Temp%\genpair.keybtc
• %User Temp%\impubkey.keybtc
• %User Temp%\{random}.cmd - used to delete dropped components

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Andere Systemänderungen

Löscht die folgenden Dateien:

• %User Temp%\*.gpg
• %User Temp%\*.lock
• %User Temp%\*.keybtc
• %Application Data%\gnupg\*.*
• %User Temp%\random_seed
• %User Temp%\*.html
• %User Temp%\*.bak
• %User Temp%\svchost.exe
• %User Temp%\*.dll
• %User Temp%\genpair.keybtc
• %User Temp%\impubkey.keybtc
• %User Temp%\secring.gpg
• %User Temp%\secring.gpg.gpg
• %User Temp%\databin.1st
• %User Temp%\bindata.cmd
• %User Temp%\UNIQUE1.BASE

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
WinHelp = "%User Temp%\UNCRYPT.txt"

Andere Details

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• .mdb
• .pdf
• .rtf
• .accdb
• .slddrw
• .zip
• .rar
• .max
• .jpg
• .xls
• .xlsx
• .doc
• .docx
• .cdr
• .dwg
• .1cd
• .cd

Für ihre ordnungsgemäße Ausführung sind die folgenden zusätzlichen Komponenten erforderlich:

• %User Temp%\query.kbtc
• %User Temp%\trsh.kbtc

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Benennt verschlüsselte Dateien in folgende Namen um:

• {file name and extension}.keybtc@gmail_com

Löscht sich nach der Ausführung selbst.