Analysé par: Jemimah Mae Molina   

 

Win32:Crypt-SHO [Trj] (AVAST); PWS:Win32/Sekur.A (MICROSOFT)

 Plate-forme:

Windows

 Évaluation globale des risques:
 Dommages potentiels:
 Distribution potentielle:
 Reported Infection:
 Information Exposure Rating:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Backdoor

  • Destructif:
    Non

  • Chiffrement:
    Non

  • In the wild:
    Oui

  Overview

Voie d'infection: Téléchargé à partir d'Internet

Écoute certains ports. Exécute des commandes envoyées par un utilisateur distant malintentionné, compromettant dangereusement la sécurité du système affecté. Lit son fichier de configuration qui contient des commandes et des données à envoyer à un serveur à distance.

  Détails techniques

File size: 150,528 bytes
File type: EXE
Memory resident: Oui
Date de réception des premiers échantillons: 23 avril 2019

Installation

Introduit les duplicats suivants au sein du système affecté.

  • %User Startup%\{random characters}.exe

(Remarque : %User Startup% est le dossier Menu Démarrer de l'utilisateur actuel. Il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Menu Démarrer\Programmes\Démarrer sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Menu Démarrer\Programmes\Démarrer sous Windows NT, de C:\Documents and Settings\{nom de l'utilisateur}\Menu Démarrer\Programmes\Démarrer sous Windows 2003(32-bit), XP et 2000(32-bit) ou de C:\Users\{nom de l'utilisateur}\AppData\Roaming\Microsoft\Windows\Menu Démarrer\Programmes\Démarrer sous Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) et 10(64-bit).)

Ajoute les algorithmes Mutex suivants afin d''éviter que plusieurs de ses duplicats ne s''exécutent simultanément :

  • {random characters}

Injecte du code dans les processus suivants :

  • services.exe - if AVG Product is installed
  • iexplore.exe - if Trend Micro Product is installed
  • mstsc.exe - if Trend Micro Product is installed and iexplore.exe is not found
  • svchost.exe

Routine de portes dérobées

Écoute le ou les ports suivants :

  • 443

Exécute les commandes suivantes envoyées par un utilisateur distant malintentionné :

  • Execute commands specified in the configuration file
  • Set the loaded state of the bot
  • Run Ammyy plugin
  • Update bot
  • Use specified proxy settings
  • Create or deletes a user with rights for RDP
  • Delete specified service or file
  • Download and executes a file in memory
  • Retrieve user credentials using the mimikatz library
  • Take a screenshot and sends it to the C&C server
  • Run VNC plugin
  • Uninstall bot
  • List all running processes
  • Initiate a reverse shell to the server

Lit son fichier de configuration qui contient des commandes et des données à envoyer à un serveur à distance.

Autres précisions

Introduit les fichiers/composants suivants :

  • %All User Profile%\Application Data\Mozilla\{random characters}.bin

  Solutions

Moteur de scan minimum: 9.850
First VSAPI Pattern File: 14.956.05
First VSAPI Pattern Release Date: 23 avril 2019
VSAPI OPR Pattern Version: 14.957.00
VSAPI OPR Pattern Release Date: 24 avril 2019

Step 1

En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.

Step 3

Redémarrage en mode sans échec

[ learnMore ]

Step 4

Recherche et suppression de ces fichiers

[ learnMore ]
Il se peut que certains fichiers de composants soient cachés. Assurez-vous que la case Rechercher dans les fichiers et les dossiers cachés est cochée dans les "Options avancées" afin que les fichiers et dossiers cachés soient inclus dans les résultats de la recherche.
  • %All User Profile%\Application Data\Mozilla\{random characters}.bin
  • %User Startup%\{random characters}.exe
DATA_GENERIC_FILENAME_1
  • Dans la liste déroulante Regarder dans, sélectionnez Poste de travail, puis appuyez sur entrée.
  • Une fois localisé, sélectionnez le fichier et appuyez sur MAJ+SUPPR pour effacer le fichier de manière définitive.
  • Répétez les étapes 2 à 4 pour les fichiers restants :
       
      • %All User Profile%\Application Data\Mozilla\{random characters}.bin
      • %User Startup%\{random characters}.exe
  • Step 5

    Redémarrez en mode normal et effectuez un scan de l"ordinateur à l"aide de votre produit Trend Micro afin de rechercher les fichiers détectés comme étant Backdoor.Win32.CARBANAK.A Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.


    Participez à notre enquête!