Analizzato da: John Rainier Navato   
 

Trojan.Win32.Crypt

 Piattaforma:

Windows

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
 Informazioni esposizione: :
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Trojan

  • Distruttivo?:
    No

  • Crittografato?:
    No

  • In the wild::

  Panoramica e descrizione

Canale infezione: Descargado de Internet, Eliminado por otro tipo de malware

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

  Dettagli tecnici

Dimensione file: 463,872 bytes
Tipo di file: DLL
Residente in memoria: No
Data di ricezione campioni iniziali: 01 novembre 2023
Carica distruttiva: Drops files, Modifies system registry, Creates files

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Agrega los procesos siguientes:

  • cmd.exe /c ping 0 -n 20 & schtasks /create /sc minute /mo 2 /tn "Proxifier" /tr "%All Users Profile%\Proxifier\IncrediBuild\SysSettings64.exe"
  • cmd.exe /c ping 0 -n 4 & del %System%\rundll32.exe SolidPDFCreator.dll /f

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).

)

Crea las carpetas siguientes:

  • %All Users Profile%\Profixier
  • %All Users Profile%\Profixier\IncrediBuild
  • %All Users Profile%\Downloads

Técnica de inicio automático

Crea las siguientes entradas de registro para activar la ejecución automática del componente infiltrado cada vez que arranque el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Profixier = %All Users Profile%\Profixier\IncrediBuild\SysSettings64.exe

Rutina de infiltración

Infiltra los archivos siguientes:

  • %All Users Profile%\Profixier\IncrediBuild\Solid PDF Creator.dll
  • %All Users Profile%\Profixier\IncrediBuild\SysSettings64.exe

Otros detalles

Hace lo siguiente:

  • It sets the following folders' attribute to Hidden:
    • %All Users Profile%\Profixier
    • %All Users Profile%\Profixier\IncrediBuild
  • It adds the following event to ensure that only one of its copies run at any one time:
    • gasdfsdf
  • It loads and decrypts the following files:
    • {Malware File Path}\~$陳彥齊.docx → decrypted and dropped as %All Users Profile%\Profixier\IncrediBuild\SysSettings64.exe
    • {Malware File Path}\~$簡歷_短版.docx→ decrypted and dropped as %All Users Profile%\Profixier\IncrediBuild\Solid PDF Creator.dll
  • It creates the following scheduled task:
    • Name: Profixier
    • Action: %All Users Profile%\Proxifier\IncrediBuild\SysSettings64.exe
    • Trigger: At {Scheduled Task Create Time} - After triggered, repeat every 00:02:00 indefinitely.
  • It deletes itself and the file used to execute the trojan after execution.

  Soluzioni

Motore di scansione minimo: 9.800
Primo file di pattern VSAPI: 18.814.03
Data di pubblicazione del primo pattern VSAPI: 12 novembre 2023
Versione pattern VSAPI OPR: 18.815.00
Data di pubblicazione del pattern VSAPI OPR: 13 novembre 2023

Step 2

Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.

Step 3

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 4

Reiniciar en modo seguro

[ learnMore ]

Step 6

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • Profixier = %All Users Profile%\Profixier\IncrediBuild\SysSettings64.exe

Step 7

Buscar y eliminar estos archivos

[ learnMore ]
Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción "Más opciones avanzadas" para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.
  • {Malware File Path}\$陳彥齊.docx
  • {Malware File Path}\~$簡歷_短版.docx
  • %All Users Profile%\Profixier\IncrediBuild\SysSettings64.exe
  • %All Users Profile%\Profixier\IncrediBuild\Solid PDF Creator.dll
 DATA_GENERIC_FILENAME_1
  • En la lista desplegable Buscar en, seleccione Mi PC y pulse Intro.
  • Una vez haya encontrado el archivo, selecciónelo y, a continuación, pulse MAYÚS+SUPR para eliminarlo definitivamente.
  • Repita los pasos 2 a 4 con el resto de archivos:
      • {Malware File Path}\$陳彥齊.docx
      • {Malware File Path}\~$簡歷_短版.docx
      • %All Users Profile%\Profixier\IncrediBuild\SysSettings64.exe
      • %All Users Profile%\Profixier\IncrediBuild\Solid PDF Creator.dll

    • Step 8

    Search and delete these folders

    [ learnMore ]
    Please make sure you check the Search Hidden Files and Folders checkbox in the "More advanced options" option to include all hidden folders in the search result.
    • %All Users Profile%\Profixier
    • %All Users Profile%\Profixier\IncrediBuild
    • %All Users Profile%\Downloads

    Step 9

    Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como Trojan.Win32.TONEINS.A En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


    Sondaggio