TROJ_CRYPWALL.XXRL
Ransom:Win32/Crowti.A(Microsoft), Trojan.Cryptodefense(Norton)
Windows
Tipo di minaccia informatica:
Trojan
Distruttivo?:
No
Crittografato?:
In the wild::
Sì
Panoramica e descrizione
Este malware se elimina tras la ejecución.
Dettagli tecnici
Instalación
Infiltra los archivos siguientes:
- {folders in drives}:\HELP_DECRYPT.HTML
- {folders in drives}:\HELP_DECRYPT.PNG
- {folders in drives}:\HELP_DECRYPT.TXT
- {folders in drives}:\HELP_DECRYPT.URL
Crea las siguientes copias de sí mismo en el sistema afectado:
- %System Root%\5fa97489\5fa97489.exe
- %Application Data%\5fa97489.exe
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).)Crea las carpetas siguientes:
- %System Root%\5fa97489
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
5fa9748 = "%System Root%\5fa97489\5fa97489.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
5fa97489 = "%Application Data%\5fa97489.exe"
Este malware infiltra el/los archivo(s) siguiente(s) en la carpeta de inicio del usuario de Windows para permitir su ejecución automática cada vez que se inicia el sistema:
- %User Startup%\5fa97489.exe - copy of itself
(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).
)Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\18A721155C52E2V5C89835C74E2BFA25
HKEY_CURRENT_USER\Software\18A721155C52E2V5C89835C74E2BFA25\
2234557889ABCCEF
HKEY_CURRENT_USER\Software\PJ Naughter
HKEY_CURRENT_USER\Software\PJ Naughter\
{malware file name}
HKEY_CURRENT_USER\Software\PJ Naughter\
{malware file name}\Recent File List
HKEY_CURRENT_USER\Software\PJ Naughter\
{malware file name}\Settings
Modifica las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"
(Note: The default value data of the said registry entry is 2.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"
(Note: The default value data of the said registry entry is 2.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
Start = "4"
(Note: The default value data of the said registry entry is 2.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = "3"
(Note: The default value data of the said registry entry is 2.)
Otros detalles
Este malware se elimina tras la ejecución.