Analysé par: Kathleen Notario   

 Plate-forme:

Windows 2000, XP, Server 2003

 Overall Risk:
 Dommages potentiels:
 Distribution potentielle:
 Infection signalée:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild:
    Oui


  Détails techniques

File size: Varie
File type: Other
Memory resident: Oui
Date de réception des premiers échantillons: 27 août 2010
Charge malveillante: Drops files

Installation

Ajoute les dossiers suivants :

  • %Windows%\PCHEALTH\AutoClean

(Remarque : %Windows% est le dossier Windows, généralement C:\Windows ou C:\WINNT.)

Ajoute les processus suivants :

  • explorer.exe

Technique de démarrage automatique

Ajoute les entrées de registre suivantes afin de s'exécuter automatiquement à chaque démarrage système :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
AutoProtect = %Windows%\pchealth\AutoClean\AutoProtect.vbs

Propagation

Le fichier .INF en question contient les chaînes suivantes :

[autorun]
icon=%SystemRoot%\system32\SHELL32.dll,7
open=AutoClean\shh.bat
action=Virus Protection by Scarecrow(The Mick)
shell\open\command=AutoClean\shh.bat

Routine d'introduction

Introduit les fichiers suivants :

  • %Windows%\pchealth\AutoClean\AutoProtect.vbs - also detected as TROJ_SCARECROW.A
  • %Windows%\pchealth\AutoClean\autorun.inf - also detected as TROJ_SCARECROW.A
  • %Windows%\pchealth\AutoClean\call.bat - also detected as TROJ_SCARECROW.A
  • %Windows%\pchealth\AutoClean\ComboKill.bat - also detected as TROJ_SCARECROW.A
  • %Windows%\pchealth\AutoClean\invis.vbs - also detected as TROJ_SCARECROW.A
  • %Windows%\pchealth\AutoClean\Replicate.vbs - also detected as TROJ_SCARECROW.A
  • %Windows%\pchealth\AutoClean\shh.bat - also detected as TROJ_SCARECROW.A
  • %Windows%\pchealth\AutoClean\Patch\PatchIt.bat - also detected as TROJ_SCARECROW.A
  • %Windows%\pchealth\AutoClean\Patch\update003.bat - also detected as TROJ_SCARECROW.A

(Remarque : %Windows% est le dossier Windows, généralement C:\Windows ou C:\WINNT.)

Configure les attributs des fichiers déposés comme suit :

  • Read-Only, Hidden, and System

Autres précisions

Sur la base de l''analyse des codes, il offre les options suivantes :

  • Drops the following files in the root directory of the drive where it was executed: autorun.inf - also detected as TROJ_SCARECROW.A ComboKill.bat - also detected as TROJ_SCARECROW.A AutoClean\AutoProtect.vbs - also detected as TROJ_SCARECROW.A AutoClean\ComboKill.bat - also detected as TROJ_SCARECROW.A AutoClean\Replicate.vbs - also detected as TROJ_SCARECROW.A AutoClean\shh.bat - also detected as TROJ_SCARECROW.A It checks if the following files exist, most of which are related to other malware:
    • %Windows%\System\lsas.exe
    • %User Profile%\lsass.exe
    • %Windows%\Tasks\Scvhost.exe
    • {drive letter}\RECYCLER {drive letter}\New.exe
    • {drive letter}\start.exe

    If it finds matches, it terminates the process, remove the attributes, Read-only, Hidden, and System of the file, then deletes the associated files and registries. Below is the list of files:

    • %Windows%\System\lsas.exe
    • C:\Documents and Settings\Administrator\lsass.exe
    • %User Profile%\lsass.exe %Windows%\Tasks\Scvhost.exe
    • C:\New.exe %Windows%\Tasks\Scvhost.exe %Windows%\System\bs.pif
    • {drive letter}\RECYCLER {drive letter}\autorun.inf
    • {drive letter}\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\Desktop.ini
    • {drive letter}\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\Autorunme.exe
    • {drive letter}\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213
    • {drive letter}\RECYCLER {drive letter}\New.exe {drive letter}\start.exe

    Below is the list of registry entries:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Windows Logistics=

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    LSA Shellu=

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Load=

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar
    BackBitmapIE5=

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar
    BackBitmapShell=

(Remarque : %User Profile% est le dossier du profil de l'utilisateur actuel ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur} sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur} sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur} sous Windows 2000, XP et Server 2003.)

  Solutions

Moteur de scan minimum: 8.900
VSAPI Pattern File: 7.412.08
VSAPI Pattern Release Date: 27 août 2010
VSAPI Pattern Release Date: 8/27/2010 12:00:00 AM

Step 1

En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.

Step 2

Redémarrage en mode sans échec

[ suite ]

Step 3

Supprimer cette valeur de registre

[ suite ]

Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l"aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • AutoProtect=%Windows%\pchealth\AutoClean\AutoProtect.vbs

Step 4

Recherche et suppression de ce dossier

[ suite ]
Assurez-vous que la case Rechercher dans les fichiers et les dossiers cachés est cochée dans les Options avancées afin que les fichiers cachés soient inclus dans les résultats de la recherche. %Windows%\PCHEALTH\AutoClean

Step 5

Effectuez un scan de l’ordinateur à l’aide de votre produit Trend Micro pour supprimer les fichiers spécifiés comme étant TROJ_SCARECROW.A Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.


Participez à notre enquête!