RANSOM_CERBER.A

Pour bénéficier d'un aperçu complet du comportement de ce programme espion, reportez-vous au diagramme des menaces présenté ci-dessous.

Utilise le planificateur de tâches Windows pour ajouter une tâche planifiée exécutant les duplicats de programme déposés.

Modifie les paramètres de zone d'Internet Explorer.

Installation

Introduit les duplicats suivants au sein du système affecté, puis les exécute :

• %Application Data%\{GUID}\{random file from system32 folder}.exe

(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.)

Introduit les fichiers de composant suivants :

• %Desktop%\# DECRYPT MY FILES #.txt
• %Desktop%\# DECRYPT MY FILES #.html
• %Desktop%\# DECRYPT MY FILES #.vbs
• {folders containing encrypted files}\# DECRYPT MY FILES #.txt
• {folders containing encrypted files}\# DECRYPT MY FILES #.html
• {folders containing encrypted files}\# DECRYPT MY FILES #.vbs
• %Tasks%\{random filename from system32 folder}

(Remarque : %Desktop% est le bureau de l'utilisateur actuel; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data dans Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Bureau sur Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Bureau sur Windows 2000, XP et Server 2003.)

Utilise le planificateur de tâches Windows pour ajouter une tâche planifiée exécutant les duplicats de programme déposés.

Technique de démarrage automatique

Ajoute les entrées de registre suivantes afin de s'exécuter automatiquement à chaque démarrage système :

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
{random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Command Processor
AutoRun = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"

(Note:This registry entry runs the malware each time start Command Processor (Cmd.exe) is executed)

HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
Run = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"

Introduit les fichiers suivants dans le dossier de démarrage de l'utilisateur de Windows pour permettre son exécution automatique à chaque démarrage du système :

• %User Startup%\{random filename from system32 folder}.lnk

(Remarque : %User Startup% est le dossier Menu Démarrer de l'utilisateur actuel. Il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Menu Démarrer\Programmes\Démarrer sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Menu Démarrer\Programmes\Démarrer sous Windows NT ou de C:\Documents and Settings\{nom de l'utilisateur}\Menu Démarrer\Programmes\Démarrer.)

Autres modifications du système

Modifie les fichiers suivants :

• It renames encrypted files to {random name}.cerber

Modifie les clés/entrées de registre suivantes dans le cadre de sa routine d'installation :

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyServer = "http=127.0.0.1:8888;https=127.0.0.1:8888;"

(Note: The default value data of the said registry entry is {user-defined}.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyEnable = "1"

(Note: The default value data of the said registry entry is {user-defined}.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyOverride = "<-loopback>;"

(Note: The default value data of the said registry entry is {user-defined}.)

Modification de la page d'accueil et de la page de recherche du navigateur Web

Modifie les paramètres de zone d'Internet Explorer.

Autres précisions

Chiffre les fichiers en utilisant les extensions suivantes :

• .contact
• .dbx
• .doc
• .docx
• .jnt
• .jpg
• .mapimail
• .msg
• .oab
• .ods
• .pdf
• .pps
• .ppsm
• .ppt
• .pptm
• .prf
• .pst
• .rar
• .rtf
• .txt
• .wab
• .xls
• .xlsx
• .xml
• .zip
• .1cd
• .3ds
• .3g2
• .3gp
• .7z
• .7zip
• .accdb
• .aoi
• .asf
• .asp
• .aspx
• .asx
• .avi
• .bak
• .cer
• .cfg
• .class
• .config
• .css
• .csv
• .db
• .dds
• .dwg
• .dxf
• .flf
• .flv
• .html
• .idx
• .js
• .key
• .kwm
• .laccdb
• .ldf
• .lit
• .m3u
• .mbx
• .md
• .mdf
• .mid
• .mlb
• .mov
• .mp3
• .mp4
• .mpg
• .obj
• .odt
• .pages
• .php
• .psd
• .pwm
• .rm
• .safe
• .sav
• .save
• .sql
• .srt
• .swf
• .thm
• .vob
• .wav
• .wma
• .wmv
• .xlsb
• .3dm
• .aac
• .ai
• .arw
• .c
• .cdr
• .cls
• .cpi
• .cpp
• .cs
• .db3
• .docm
• .dot
• .dotm
• .dotx
• .drw
• .dxb
• .eps
• .fla
• .flac
• .fxg
• .java
• .m
• .m4v
• .max
• .mdb
• .pcd
• .pct
• .pl
• .potm
• .potx
• .ppam
• .ppsm
• .ppsx
• .pptm
• .ps
• .pspimage
• .r3d
• .rw2
• .sldm
• .sldx
• .svg
• .tga
• .wps
• .xla
• .xlam
• .xlm
• .xlr
• .xlsm
• .xlt
• .xltm
• .xltx
• .xlw
• .act
• .adp
• .al
• .bkp
• .blend
• .cdf
• .cdx
• .cgm
• .cr2
• .crt
• .dac
• .dbf
• .dcr
• .ddd
• .design
• .dtd
• .fdb
• .fff
• .fpx
• .h
• .iif
• .indd
• .jpeg
• .mos
• .nd
• .nsd
• .nsf
• .nsg
• .nsh
• .odc
• .odp
• .oil
• .pas
• .pat
• .pef
• .pfx
• .ptx
• .qbb
• .qbm
• .sas7bdat
• .say
• .st4
• .st6
• .stc
• .sxc
• .sxw
• .tlg
• .wad
• .xlk
• .aiff
• .bin
• .bmp
• .cmt
• .dat
• .dit
• .edb
• .flvv
• .gif
• .groups
• .hdd
• .hpp
• .log
• .m2ts
• .m4p
• .mkv
• .mpeg
• .ndf
• .nvram
• .ogg
• .ost
• .pab
• .pdb
• .pif
• .png
• .qed
• .qcow
• .qcow2
• .rvt
• .st7
• .stm
• .vbox
• .vdi
• .vhd
• .vhdx
• .vmdk
• .vmsd
• .vmx
• .vmxf
• .3fr
• .3pr
• .ab4
• .accde
• .accdr
• .accdt
• .ach
• .acr
• .adb
• .ads
• .agdl
• .ait
• .apj
• .asm
• .awg
• .back
• .backup
• .backupdb
• .bank
• .bay
• .bdb
• .bgt
• .bik
• .bpw
• .cdr3
• .cdr4
• .cdr5
• .cdr6
• .cdrw
• .ce1
• .ce2
• .cib
• .craw
• .crw
• .csh
• .csl
• .db_journal
• .dc2
• .dcs
• .ddoc
• .ddrw
• .der
• .des
• .dgc
• .djvu
• .dng
• .drf
• .dxg
• .eml
• .erbsql
• .erf
• .exf
• .ffd
• .fh
• .fhd
• .gray
• .grey
• .gry
• .hbk
• .ibank
• .ibd
• .ibz
• .iiq
• .incpas
• .jpe
• .kc2
• .kdbx
• .kdc
• .kpdx
• .lua
• .mdc
• .mef
• .mfw
• .mmw
• .mny
• .moneywell
• .mrw
• .myd
• .ndd
• .nef
• .nk2
• .nop
• .nrw
• .ns2
• .ns3
• .ns4
• .nwb
• .nx2
• .nxl
• .nyf
• .odb
• .odf
• .odg
• .odm
• .orf
• .otg
• .oth
• .otp
• .ots
• .ott
• .p12
• .p7b
• .p7c
• .pdd
• .pem
• .plus_muhd
• .plc
• .pot
• .pptx
• .psafe3
• .py
• .qba
• .qbr
• .qbw
• .qbx
• .qby
• .raf
• .rat
• .raw
• .rdb
• .rwl
• .rwz
• .s3db
• .sd0
• .sda
• .sdf
• .sqlite
• .sqlite3
• .sqlitedb
• .sr2
• .srf
• .srw
• .st5
• .st8
• .std
• .sti
• .stw
• .stx
• .sxd
• .sxg
• .sxi
• .sxm
• .tex
• .wallet
• .wb2
• .wpd
• .x11
• .x3f
• .xis
• .ycbcra
• .yuv