TROJ_CRYPCTB.YWE

Se conecta a determinados sitios Web para enviar y recibir información.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

• %User Temp%\{random filename}.exe

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Infiltra los archivos siguientes:

• %ProgramData%\{randomly selected folder}\{random filename} (Windows Vista and above)
• %All Users Profile%\Application Data\{randomly selected folder}\{random filename} (Windows XP and below)
• %All Users Profile%\{random filename}.html (Windows Vista and above)
• %ProgramData%\{random filename}.html (Windows Vista and above)
• %All Users Profile%\Application Data\{random filename}.html (Windows XP and below)
• %User Profile%\Documents\!Decrypt-All-Files-{random 7 characters}.bmp (Windows Vista and above)
• %User Profile%\My Documents\!Decrypt-All-Files-{random 7 characters}.bmp (Windows XP and below)
• %User Profile%\Documents\!Decrypt-All-Files-{random 7 characters}.txt (Windows Vista and above)
• %User Profile%\My Documents\!Decrypt-All-Files-{random 7 characters}.txt (Windows XP and below)

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

Este malware inyecta códigos en el/los siguiente(s) proceso(s):

• svchost.exe

Técnica de inicio automático

Infiltra los archivos siguientes:

• %System%\Tasks\{random filename} (Windows Vista and above)
• %Windows%\Tasks\{random filename}.job (Windows XP and below)

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Otras modificaciones del sistema

Modifica las siguientes entradas de registro:

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %User Profile%\{My Documents or Documents}\!Decrypt-All-Files-{random 7 characters}.bmp

(Note: The default value data of the said registry entry is {User Defined}.)

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = "0"

(Note: The default value data of the said registry entry is "User Defined".)

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = "0"

(Note: The default value data of the said registry entry is "User Defined".)

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://{BLOCKED}4qk625n6.onion.lt
• http://{BLOCKED}4qk625n6.onion.gq
• http://{BLOCKED}4qk625n6.tor2web.fi
• http://{BLOCKED}4qk625n6.tor2web.org
• http://{BLOCKED}4qk625n6.tor2web.blutmagie.de
• http://{BLOCKED}4qk625n6.onion.cab

Cifra los archivos con las extensiones siguientes:

• 3fr
• 7z
• accdb
• ai
• arw
• bas
• bay
• blend
• cdr
• cer
• cpp
• cr2
• crt
• c
• crw
• cs
• db
• dbf
• dcr
• dds
• dd
• der
• dng
• docm
• docx
• doc
• dwg
• dxf
• dxg
• eps
• erf
• groups
• indd
• jpe
• jpeg
• jpg
• js
• kdc
• kwm
• mdb
• mdf
• md
• mef
• mrw
• nef
• nrw
• odb
• odm
• odp
• ods
• odt
• orf
• p12
• p7b
• p7c
• pdd
• pdf
• pef
• pem
• pfx
• php
• pl
• pptm
• ppt
• pptx
• psd
• pst
• ptx
• pwm
• py
• r3d
• raf
• rar
• raw
• rtf
• rw2
• rwl
• safe
• sql
• srf
• srw
• txt
• vsd
• wb2
• wpd
• wps
• xlk
• xlsm
• xls
• xlsb
• xlsx
• zip

Sustituye los nombres de los archivos cifrados por los nombres siguientes:

• {original file name and extension}.{random 7 characters}