TROJ_RANSOM.FA

File size: 59,904 bytes

File type: EXE

Memory resident: Yes

INITIAL SAMPLES RECEIVED DATE: 31 de октября de 2012

Técnica de inicio automático

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "{malware path and file name}.exe"

(Note: The default value data of the said registry entry is Explorer.exe.)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
AFD

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
AppMgmt

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
Base

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
Boot Bus Extender

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
Boot file system

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
Browser

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
CryptSvc

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
DcomLaunch

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
Dhcp

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
dmadmin

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
dmboot.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
dmio.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
dmload.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
dmserver

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
DnsCache

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
EventLog

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
File system

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
Filter

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
HelpSvc

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
ip6fw.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
ipnat.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
LanmanServer

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
LanmanWorkstation

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
LmHosts

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
Messenger

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
NDIS

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
NDIS Wrapper

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
Ndisuio

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
NetBIOS

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
NetBIOSGroup

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
NetBT

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
NetDDEGroup

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
Netlogon

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
NetMan

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
Network

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
NetworkProvider

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
NtLmSsp

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
PCI Configuration

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
PlugPlay

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
PNP Filter

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
PNP_TDI

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
Primary disk

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
rdpcdd.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
rdpdd.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
rdpwd.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
rdsessmgr

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
RpcSs

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
SCSI Class

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
sermouse.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
SharedAccess

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network_\
sr.sys

Rutina de infiltración

Infiltra los archivos siguientes:

%System Root%\xFoLOOOSErs.txt

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Minimum scan engine: 9.300

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Identificar y eliminar los archivos detectados como TROJ_RANSOM.FA mediante el disco de inicio o la Consola de recuperación

[ learnMore ]

Step 3

Eliminar esta clave del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
- Network_

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- AFD

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- AppMgmt

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- Base

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- Boot Bus Extender

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- Boot file system

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- Browser

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- CryptSvc

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- DcomLaunch

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- Dhcp

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- dmadmin

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- dmboot.sys

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- dmio.sys

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- dmload.sys

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- dmserver

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- DnsCache

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- EventLog

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- File system

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- Filter

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- HelpSvc

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- ip6fw.sys

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- ipnat.sys

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- LanmanServer

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- LanmanWorkstation

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- LmHosts

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- Messenger

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- NDIS

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- NDIS Wrapper

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- Ndisuio

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- NetBIOS

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- NetBIOSGroup

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- NetBT

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- NetDDEGroup

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- Netlogon

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- NetMan

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot_
- Network

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- NetworkProvider

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- NtLmSsp

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- PCI Configuration

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- PlugPlay

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- PNP Filter

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- PNP_TDI

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- Primary disk

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- rdpcdd.sys

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- rdpdd.sys

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- rdpwd.sys

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- rdsessmgr

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- RpcSs

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- SCSI Class

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- sermouse.sys

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- SharedAccess

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
- sr.sys

Para eliminar la clave del Registro que este malware/grayware/spyware ha creado:

Abra el Editor del Registro. Haga clic en Inicio>Ejecutar, escriba REGEDIT y, a continuación, pulse Intro.
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SYSTEM>ControlSet001>Control>SafeBoot
También en el panel izquierdo, busque y elimine la clave:
Network_
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SYSTEM>ControlSet001>Control>SafeBoot>Network_
También en el panel izquierdo, busque y elimine la clave:
AFD
También en el panel izquierdo, busque y elimine la clave:
AppMgmt
También en el panel izquierdo, busque y elimine la clave:
Base
También en el panel izquierdo, busque y elimine la clave:
Boot Bus Extender
También en el panel izquierdo, busque y elimine la clave:
Boot file system
También en el panel izquierdo, busque y elimine la clave:
Browser
También en el panel izquierdo, busque y elimine la clave:
CryptSvc
También en el panel izquierdo, busque y elimine la clave:
DcomLaunch
También en el panel izquierdo, busque y elimine la clave:
Dhcp
También en el panel izquierdo, busque y elimine la clave:
dmadmin
También en el panel izquierdo, busque y elimine la clave:
dmboot.sys
También en el panel izquierdo, busque y elimine la clave:
dmio.sys
También en el panel izquierdo, busque y elimine la clave:
dmload.sys
También en el panel izquierdo, busque y elimine la clave:
dmserver
También en el panel izquierdo, busque y elimine la clave:
DnsCache
También en el panel izquierdo, busque y elimine la clave:
EventLog
También en el panel izquierdo, busque y elimine la clave:
File system
También en el panel izquierdo, busque y elimine la clave:
Filter
También en el panel izquierdo, busque y elimine la clave:
HelpSvc
También en el panel izquierdo, busque y elimine la clave:
ip6fw.sys
También en el panel izquierdo, busque y elimine la clave:
ipnat.sys
También en el panel izquierdo, busque y elimine la clave:
LanmanServer
También en el panel izquierdo, busque y elimine la clave:
LanmanWorkstation
También en el panel izquierdo, busque y elimine la clave:
LmHosts
También en el panel izquierdo, busque y elimine la clave:
Messenger
También en el panel izquierdo, busque y elimine la clave:
NDIS
También en el panel izquierdo, busque y elimine la clave:
NDIS Wrapper
También en el panel izquierdo, busque y elimine la clave:
Ndisuio
También en el panel izquierdo, busque y elimine la clave:
NetBIOS
También en el panel izquierdo, busque y elimine la clave:
NetBIOSGroup
También en el panel izquierdo, busque y elimine la clave:
NetBT
También en el panel izquierdo, busque y elimine la clave:
NetDDEGroup
También en el panel izquierdo, busque y elimine la clave:
Netlogon
También en el panel izquierdo, busque y elimine la clave:
NetMan
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SYSTEM>ControlSet001>Control>SafeBoot_
También en el panel izquierdo, busque y elimine la clave:
Network
También en el panel izquierdo, busque y elimine la clave:
NetworkProvider
También en el panel izquierdo, busque y elimine la clave:
NtLmSsp
También en el panel izquierdo, busque y elimine la clave:
PCI Configuration
También en el panel izquierdo, busque y elimine la clave:
PlugPlay
También en el panel izquierdo, busque y elimine la clave:
PNP Filter
También en el panel izquierdo, busque y elimine la clave:
PNP_TDI
También en el panel izquierdo, busque y elimine la clave:
Primary disk
También en el panel izquierdo, busque y elimine la clave:
rdpcdd.sys
También en el panel izquierdo, busque y elimine la clave:
rdpdd.sys
También en el panel izquierdo, busque y elimine la clave:
rdpwd.sys
También en el panel izquierdo, busque y elimine la clave:
rdsessmgr
También en el panel izquierdo, busque y elimine la clave:
RpcSs
También en el panel izquierdo, busque y elimine la clave:
SCSI Class
También en el panel izquierdo, busque y elimine la clave:
sermouse.sys
También en el panel izquierdo, busque y elimine la clave:
SharedAccess
También en el panel izquierdo, busque y elimine la clave:
sr.sys
Cierre el Editor del Registro.

Step 4

Restaurar este valor del Registro modificado

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- From: Shell = "{malware path and file name}.exe"
  To: Shell = ""Explorer.exe""

Step 5

Buscar y eliminar este archivo

[ learnMore ]

Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.

%System Root%\xFoLOOOSErs.txt

Step 6

Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como TROJ_RANSOM.FA En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.

Did this description help? Tell us how we did.

OVERVIEW

TECHNICAL DETAILS

SOLUTION

Ресурсы

Поддержка

О компании Trend

TROJ_RANSOM.FA

OVERVIEW

TECHNICAL DETAILS

SOLUTION

Ресурсы

Поддержка

О компании Trend

Северная и Южная Америка

Ближний Восток и Африка

Европа

Азиатско-Тихоокеанский регион