TROJ_CRYPTOX.SM

Se conecta a determinados sitios Web para enviar y recibir información.

Detalles de entrada

Puede haberse descargado desde los sitios remotos siguientes:

• {BLOCKED}la7qwv37qj.onion
• {BLOCKED}la7qwv37qj.tor2web.org

Instalación

Infiltra los archivos siguientes:

• %Application Data%\tox.log - list of encrypted files.

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Este malware infiltra los siguientes archivos no maliciosos:

• %User Startup%\tox.html - Ransom Note

(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).

Crea las carpetas siguientes:

• %Application Data%\tox_tor

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• toxcrypt

Técnica de inicio automático

Este malware infiltra el/los archivo(s) siguiente(s) en la carpeta de inicio del usuario de Windows para permitir su ejecución automática cada vez que se inicia el sistema:

• %User Startup%\Tox.exe - copy of itself.

(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://{BLOCKED}nkssujglja.onion
• http://{BLOCKED}xg64t5wnt.onion
• http://{BLOCKED}6jut2rupu4.onion

Cifra los archivos con las extensiones siguientes:

• .txt
• .odt
• .ods
• .odp
• .odm
• .odb
• .doc
• .docx
• .docm
• .wps
• .xls
• .xlsx
• .xlsm
• .xlsb
• .xlk
• .ppt
• .pptx
• .pptm
• .mdb
• .accdb
• .pst
• .dwg
• .dxf
• .dxg
• .wpd
• .indd
• .cdr
• .jpg
• .jpe
• .jpeg
• .dng
• .arw
• .mef
• .mrw
• .nef
• .nrw
• .orf
• .raf
• .raw
• .rwl
• .ptx
• .pef
• .srw
• .der
• .cer
• .rtf
• .mdf
• .dbf
• .psd
• .pdd
• .eps
• .crt
• .pem
• .pfx
• .pdf
• .odc
• .srf
• .bay
• .crw
• .dcr
• .kdc
• .erf
• .png
• .xml
• .sql
• .php
• .asp
• .aspx
• .css
• .cpp
• .hpp
• .java
• .class
• .veg
• .aep
• .aepx
• .blend
• .prproj
• .cad
• .tif
• .sitx
• .sit
• .rmvb
• .bmp
• .pps
• .pub
• .qbb
• .swf
• .asf
• .dss
• .qxd
• .cdl
• .mswmm
• .eml
• .csv

Sustituye los nombres de los archivos cifrados por los nombres siguientes:

• {original filename and extension}.toxcrypt