RANSOM_CRYPICH.D
Ransom:Win32/Criakl.D (Microsoft); Trojan-Ransom.Win32.Gimemo.cboz (Kaspersky); Trojan[Ransom]/Win32.Cryakl (Antiy-AVL); Trojan/Win32.Criakl (AhnLab-V3)
Windows
Tipo de malware
Trojan
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Este malware modifica la configuración de zona de Internet Explorer.
Detalles técnicos
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:
- %Program Files%\1C\{malware file name}.{malware file extension}
- %User Temp%\1C\{malware file name}.{malware file extension}
(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).)Infiltra los archivos siguientes:
- %Program Files%\1C\{random filename}.(random file extension}
- %User Temp%\1C\desk.bmp
- %User Temp%\1C\desk.jpg
(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
pr = "%Program Files%\1C\{malware file name}.{malware file extension}"
Otras modificaciones del sistema
Modifica las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\Control Panel\Desktop
TileWallpaper = "0"
(Note: The default value data of the said registry entry is "{User Preference}".)
HKEY_LOCAL_MACHINE\Control Panel\Desktop
Wallpaper = "%User Temp%\1C\desk.bmp"
(Note: The default value data of the said registry entry is "{User Preference}".)
Modificación de la página de inicio y de la página de búsqueda del explorador Web
Este malware modifica la configuración de zona de Internet Explorer.
Otros detalles
Sustituye los nombres de los archivos cifrados por los nombres siguientes:
- email-{BLOCKED}ivanov34@aol.com.ver-CL 1.2.0.0.id-{value}-{time stamp}{value}.randomname-{value}.cbf