Windows
Infiltration sous forme de pièce jointe de messages de spam transmis par d''autres programmes malveillants/graywares/programmes espions ou par des utilisateurs malintentionnés. Possibilité de téléchargement involontaire ou accidentel par un utilisateur se connectant à des sites Web malveillants. Ce programme malveillant peut arriver selon une ou plusieurs méthodes.
Désactive le Gestionnaire des tâches, l''éditeur de la base de registre et les options de dossier.
Précisions sur l'apparition de l'infection
Infiltration sous forme de pièce jointe de messages de spam transmis par d''autres programmes malveillants/graywares/programmes espions ou par des utilisateurs malintentionnés.
Possibilité de téléchargement involontaire ou accidentel par un utilisateur se connectant à des sites Web malveillants.
Il arrive par les moyens suivants :
Installation
Introduit les fichiers suivants :
Introduit les duplicats suivants au sein du système affecté.
(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.. %System% est le dossier système de Windows, le plus souvent C:\Windows\System sous Windows 98 et ME, C:\WINNT\System32 sous Windows NT et 2000 ou C:\Windows\System32 sous Windows XP et Server 2003.)
Crée les dossiers suivants :
(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.)
Technique de démarrage automatique
Ajoute les entrées de registre suivantes afin de s'exécuter automatiquement à chaque démarrage système :
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
GoogleChrome = "{malware path}\{malware name}.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Microsoft Updater = "{malware path}\{malware name}.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Realtecdriver = "%Application Data%\Realtec\Realtecdriver.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
B0B2D6E3 = "%Application Data%\{random}\{random}.exe"
Modifie les entrées de registre suivantes afin d''assurer son exécution automatique à chaque démarrage système :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%System%\{random}.exe,"
(Note: The default value data of the said registry entry is %System%\userinit.exe,.)
Ajoute les entrées de registre Image File Execution Options suivantes pour s'exécuter automatiquement lorsque certaines applications sont exécutées :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{application name}
Debugger = "P9KDMF.EXE"
Autres modifications du système
Ajoute les clés de registre suivantes relatives à sa routine d''installation :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{application name}
Il crée la ou les entrées suivantes pour désactiver le Gestionnaires des tâches, les outils de la base de registre et les options de dossier.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegedit = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
DisableRegedit = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
DisableTaskMgr = "1"
Supprime les clés de registre suivantes :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Network
Effectuez un scan de l’ordinateur à l’aide de votre produit Trend Micro pour supprimer les fichiers spécifiés comme étant RANSOM Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.