Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels:
 Distribution potentielle:
 Infection signalée:
 Information Exposure Rating:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild:
    Oui

  Overview

Voie d'infection: Transmis sous forme de spam via le courrier électronique, Téléchargé à partir d'Internet

Infiltration sous forme de pièce jointe de messages de spam transmis par d''autres programmes malveillants/graywares/programmes espions ou par des utilisateurs malintentionnés. Possibilité de téléchargement involontaire ou accidentel par un utilisateur se connectant à des sites Web malveillants. Ce programme malveillant peut arriver selon une ou plusieurs méthodes.

Désactive le Gestionnaire des tâches, l''éditeur de la base de registre et les options de dossier.

  Détails techniques

Memory resident: Oui
Charge malveillante: Displays graphics/image, Disables desktop, Encrypts files, Steals information

Précisions sur l'apparition de l'infection

Infiltration sous forme de pièce jointe de messages de spam transmis par d''autres programmes malveillants/graywares/programmes espions ou par des utilisateurs malintentionnés.

Possibilité de téléchargement involontaire ou accidentel par un utilisateur se connectant à des sites Web malveillants.

Il arrive par les moyens suivants :

  • Exploit kits
  • Compromised sites
  • Malvertisements

Installation

Introduit les fichiers suivants :

  • {malware path}\{malware name}.mp3

Introduit les duplicats suivants au sein du système affecté.

  • %Application Data%\Realtec\Realtecdriver.exe
  • %Application Data%\{random}\{random}.exe
  • %System%\{random}.exe

(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.. %System% est le dossier système de Windows, le plus souvent C:\Windows\System sous Windows 98 et ME, C:\WINNT\System32 sous Windows NT et 2000 ou C:\Windows\System32 sous Windows XP et Server 2003.)

Crée les dossiers suivants :

  • %Application Data%\Realtec
  • %Application Data%\{random}

(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.)

Technique de démarrage automatique

Ajoute les entrées de registre suivantes afin de s'exécuter automatiquement à chaque démarrage système :

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
GoogleChrome = "{malware path}\{malware name}.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Microsoft Updater = "{malware path}\{malware name}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Realtecdriver = "%Application Data%\Realtec\Realtecdriver.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
B0B2D6E3 = "%Application Data%\{random}\{random}.exe"

Modifie les entrées de registre suivantes afin d''assurer son exécution automatique à chaque démarrage système :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%System%\{random}.exe,"

(Note: The default value data of the said registry entry is %System%\userinit.exe,.)

Ajoute les entrées de registre Image File Execution Options suivantes pour s'exécuter automatiquement lorsque certaines applications sont exécutées :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{application name}
Debugger = "P9KDMF.EXE"

Autres modifications du système

Ajoute les clés de registre suivantes relatives à sa routine d''installation :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{application name}

Il crée la ou les entrées suivantes pour désactiver le Gestionnaires des tâches, les outils de la base de registre et les options de dossier.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegedit = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
DisableRegedit = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
DisableTaskMgr = "1"

Supprime les clés de registre suivantes :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Network

  Solutions

Moteur de scan minimum: 9.800

Effectuez un scan de l’ordinateur à l’aide de votre produit Trend Micro pour supprimer les fichiers spécifiés comme étant RANSOM Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.


Participez à notre enquête!