TROJ_CRIBIT.H
Mal/Ransom-CE (Sophos) ,Trojan horse SHeur4.BTUZ (AVG) ,W32/Inject.MJPQ!tr (Fortinet) ,Virus.Win32.CeeInject (Ikarus) ,Trojan.Win32.Inject.mjpq (Kaspersky) ,VirTool:Win32/CeeInject.gen!KK (Microsoft) ,a variant of Win32/Injector.BCDM trojan (Eset) ,Trojan.Win32.Generic!BT (Sunbelt)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Tipo di minaccia informatica:
Trojan
Distruttivo?:
No
Crittografato?:
In the wild::
Sì
Panoramica e descrizione
Dettagli tecnici
Instalación
Infiltra los archivos siguientes:
- %Application Data%\OneClickRemSoftware\BitCrypt.bmp
- %Application Data%\OneClickRemSoftware\del.bat
- %Application Data%\OneClickRemSoftware\passworddata.ddb
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
)Crea las siguientes copias de sí mismo en el sistema afectado:
- %Application Data%\OneClickRemSoftware\{random}.exe
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
)Crea las carpetas siguientes:
- %Application Data%\OneClickRemSoftware
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
)Crea los archivos de texto siguientes:
- %Application Data%\OneClickRemSoftware\What_happened_with_your_files.txt
- {Drive Letter}:\{folder path}\What_happened_with_your_files.txt
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Bitcomint = "%ApplicationData%\OneClickSoftware\{random}.exe"
Otros detalles
Cifra los archivos con las extensiones siguientes:
- *.abw
- *.arj
- *.asm
- *.bpg
- *.cdr
- *.cdt
- *.cdx
- *.cer
- *.css
- *.dbf
- *.dbt
- *.dbx
- *.dfm
- *.djv
- *.djvu
- *.doc
- *.docm
- *.docx
- *.dpk
- *.dpr
- *.frm
- *.jpeg
- *.jpg
- *.key
- *.lzh
- *.lzo
- *.mdb
- *.mde
- *.odc
- *.pab
- *.pas
- *.pgp
- *.php
- *.pps
- *.ppt
- *.pst
- *.rtf
- *.sql
- *.text
- *.txt
- *.vbp
- *.vsd
- *.wri
- *.xfm
- *.xlc
- *.xlk
- *.xls
- *.xlsm
- *.xlsx
- *.xlw
- *.xsf
- *.xsn
Sustituye los nombres de los archivos cifrados por los nombres siguientes:
- {filename}.bitcrypt2