It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Supprime des fichiers, empêchant le fonctionnement correct de programmes et d''applications.
Se connecte à un site Web afin d''envoyer et recevoir des informations.
Précisions sur l'apparition de l'infection
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Installation
Introduit les fichiers de composant suivants :
- {Malware Path}\{Malware Filename}as.sys -> detected as PUA.Win32.PCHunter.C.component
Ajoute les processus suivants :
- “%System%\rundll32.exe” url.dll,FileProtocolHandler http://www.{BLOCKED}oft.com -> if file is not the newest version
Technique de démarrage automatique
S''enregistre en tant que service système afin d''assurer son exécution automatique à chaque démarrage système en ajoutant les entrées de registre suivantes :
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\{Malware Filename}as
Autres modifications du système
Supprime les fichiers suivants :
- {Malware Path}\{Malware Filename}as.sys
Ajoute les entrées de registre suivantes :
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\{Malware Filename}as
Type = 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\{Malware Filename}as
ErrorControl = 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\{Malware Filename}as
Start = 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\{Malware Filename}as
ImagePath = \??\{Malware Path}\{Malware Filename}as.sys
Routine de portes dérobées
Se connecte aux sites Web suivants afin d''envoyer et recevoir des informations :
- http://www.{BLOCKED}oft.com
- http://www.{BLOCKED}oft.com/PCHunter_StandardV1.56={MAC Address}
- http://www.{BLOCKED}oft.com/statistics/epoolsoft.html?PCHunter_Standard={MAC Address}
- http://www.{BLOCKED}oft.com/pchunter/pchunter_free
Vol d'informations
Collecte les données suivantes :
- MAC Address
- Running Processes
- Computer Files
- User Accounts
- System Registries
- Process Modules
- Kernel Modules
- Startup Information
- Network Connections
- Firewall Rules
Autres précisions
Il fait ce qui suit:
- It loads the dropped file as a driver
- {Malware Path}\{Malware Filename}as.sys
- It connects to http://www.{BLOCKED}oft.com if product version is not V1.56 or the date is January 13, 2019
- It displays the following image:

- It can view and display system process and process threads
- It can terminate, suspend and resume processes and threads
- It displays current network connections, including the local and remote addresses and state of TCP connections
- It displays and can edit system registry
- It displays and can delete files and folders
- It can view file properties information
- It displays autorun entries
- It can delete and edit autorun entries
- It displays and can delete user accounts
- It displays affected machine’s firewall rules
- It can delete a firewall rule
Step 2
Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.
Step 3
Redémarrage en mode sans échec
[ suite ]
[ dos ]
Pour redémarrer en mode sans échec :
• Pour les utilisateurs de Windows 98 et ME
- Redémarrez votre ordinateur.
- Maintenez la touche Ctrl enfoncée jusqu'à ce que s'affiche le menu de démarrage.
- Choisissez l'option de mode sans échec, puis appuyez sur la touche Entrée.
• Pour les utilisateurs de Windows NT (mode VGA)
- Cliquez sur Démarrer>Paramètres>Panneau de configuration.
- Double-cliquez sur l'icône Système.
- Cliquez sur l'onglet Démarrage/Arrêt.
- Paramétrez le champ Afficher liste sur 10 secondes et cliquez sur OK pour enregistrer cette modification.
- Éteignez et redémarrez l'ordinateur.
- Sélectionnez le mode VGA dans le menu de démarrage.
• Pour les utilisateurs de Windows 2000
- Redémarrez votre ordinateur.
- Appuyez sur la touche F8 lorsque la barre de démarrage de Windows s’affiche au bas de votre écran.
- Sélectionnez l’option de mode sans échec dans le menu Options avancées de Windows, puis appuyez sur la touche Entrée.
• Pour les utilisateurs de Windows XP
- Redémarrez votre ordinateur.
- Appuyez sur la touche F8 une fois le test POST (Power-On Self Test) terminé. Si le menu des options avancées de Windows ne s’affiche pas, essayez de redémarrer, puis d’appuyer plusieurs fois sur la touche F8 après l’affichage de l’écran POST.
- Sélectionnez l’option de mode sans échec dans le menu Options avancées de Windows, puis appuyez sur la touche Entrée.
• Pour les utilisateurs de Windows Server 2003
- Redémarrez votre ordinateur.
- Appuyez sur la touche F8 après le démarrage de Windows. Si le menu des options avancées de Windows ne s'affiche pas, essayez de redémarrer une nouvelle fois, puis d'appuyer plusieurs fois sur la touche F8 après le redémarrage.
- Dans le menu des options avancées de Windows, utilisez les touches fléchées pour sélectionner le mode sans échec, puis appuyez sur la touche Entrée.
Step 4
Supprimer cette valeur de registre
[ suite ]
[ dos ]
Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l"aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{Malware Filename}as
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{Malware Filename}as
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{Malware Filename}as
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{Malware Filename}as
- ImagePath = \??\{Malware Path}\{Malware Filename}as.sys
Pour supprimer la valeur de registre créée par ce programme malveillant :
- Ouvrez l'éditeur de registre. Pour ce faire, cliquez sur Démarrer>Exécuter, saisissez regedit dans le champ de saisie, puis appuyez sur Entrée.
- Dans le panneau de gauche de la fenêtre de l'éditeur de registre, faites un double-clic à l'endroit suivant :
HKEY_LOCAL_MACHINE>SYSTEM>ControlSet001>services>{Malware Filename}as - Dans le panneau de droite, recherchez et supprimez l'entrée :
Type = 1 - Dans le panneau de droite, recherchez et supprimez l'entrée :
ErrorControl = 1 - Dans le panneau de droite, recherchez et supprimez l'entrée :
Start = 1 - Dans le panneau de droite, recherchez et supprimez l'entrée :
ImagePath = \??\{Malware Path}\{Malware Filename}as.sys - Fermez l'éditeur de registre.
Step 5
Effectuez un scan de l’ordinateur à l’aide de votre produit Trend Micro pour supprimer les fichiers spécifiés comme étant PUA.Win32.PCHunter.A Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.
Participez à notre enquête!