RANSOM_MIRCOP.A
Windows
Type de grayware:
Trojan
Destructif:
Non
Chiffrement:
Oui
In the wild:
Oui
Overview
Pour bénéficier d'un aperçu complet du comportement de ce programme espion, reportez-vous au diagramme des menaces présenté ci-dessous.

Infiltration sous forme de pièce jointe de messages de spam transmis par d''autres programmes malveillants/graywares/programmes espions ou par des utilisateurs malintentionnés.
Il dérobe certaines informations du système et/ou de l'utilisateur.
Détails techniques
Précisions sur l'apparition de l'infection
Infiltration sous forme de pièce jointe de messages de spam transmis par d''autres programmes malveillants/graywares/programmes espions ou par des utilisateurs malintentionnés.
Installation
Introduit les fichiers/composants suivants :
- %User Startup%\MicroCop.lnk
- %User Temp%\PassW8.txt
- %User Temp%\Sqlite.dll
- %User Temp%\c.exe - steals information
- %User Temp%\wl.jpg - wallpaper
- %User Temp%\x.exe - encrypts files
- %User Temp%\y.exe - encrypts files
(Remarque : %User Startup% est le dossier Menu Démarrer de l'utilisateur actuel. Il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Menu Démarrer\Programmes\Démarrer sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Menu Démarrer\Programmes\Démarrer sous Windows NT ou de C:\Documents and Settings\{nom de l'utilisateur}\Menu Démarrer\Programmes\Démarrer.. %User Temp% est le dossier temporaire de l'utilisateur actuel, le plus souvent C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Temp sous Windows 2000, XP et Server 2003.)
Autres modifications du système
Ajoute les entrées de registre suivantes :
HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%User Temp%\wl.jpg"
Vol d'informations
Il dérobe les informations suivantes :
- Filezilla
- Windows Mail
- Mozilla Firefox
- Google Chrome
- Opera
- Filezilla
- Skype
Autres précisions
Chiffre les fichiers en utilisant les extensions suivantes :
- .386
- .a
- .accda
- .accdb
- .accdc
- .accde
- .accdr
- .accdt
- .accdu
- .acl
- .ade
- .adn
- .adp
- .ai
- .aif
- .aifc
- .aiff
- .ani
- .ans
- .api
- .aps
- .art
- .asa
- .asc
- .ascx
- .asf
- .asm
- .asmx
- .asp
- .aspx
- .asx
- .au
- .avi
- .aw
- .bas
- .bat
- .bcp
- .bin
- .bkf
- .blg
- .bmp
- .bsc
- .btapp
- .btkey
- .btskin
- .c
- .cab
- .camp
- .cat
- .cc
- .cda
- .cdmp
- .cdx
- .cer
- .cgm
- .chk
- .chm
- .cls
- .cmd
- .cod
- .com
- .config
- .cpl
- .cpp
- .crd
- .crds
- .crl
- .crt
- .crtx
- .cs
- .csa
- .csproj
- .css
- .csv
- .cur
- .cxx
- .dat
- .db
- .dbg
- .dbs
- .dcr
- .dct
- .def
- .der
- .det
- .dib
- .dic
- .dir
- .disco
- .diz
- .dll
- .dl_
- .doc
- .docm
- .docx
- .docxml
- .dos
- .dot
- .dotm
- .dotx
- .dqy
- .drv
- .dsn
- .dsp
- .dsw
- .dtd
- .dwfx
- .dxr
- .easmx
- .edrwx
- .elm
- .emf
- .epf
- .eprtx
- .eps
- .etp
- .evt
- .evtx
- .exc
- .exp
- .ext
- .ex_
- .eyb
- .fad
- .faq
- .fav
- .fdf
- .fdm
- .fif
- .fky
- .fnd
- .fnt
- .fon
- .gadget
- .gcsx
- .gfs
- .ghi
- .gif
- .glk
- .glox
- .gmmp
- .gqsx
- .gra
- .group
- .grp
- .grv
- .gsa
- .gta
- .gz
- .h
- .H1C
- .H1D
- .H1F
- .H1H
- .H1K
- .H1Q
- .H1S
- .H1T
- .H1V
- .H1W
- .hdp
- .hhc
- .hlp
- .hol
- .hpp
- .hqx
- .hta
- .htc
- .htm
- .html
- .htt
- .htw
- .htx
- .hxa
- .hxc
- .hxd
- .hxe
- .hxf
- .hxh
- .hxi
- .hxk
- .hxq
- .hxr
- .hxs
- .hxt
- .hxv
- .hxw
- .hxx
- .i
- .ibc
- .ibq
- .icc
- .icl
- .icm
- .ico
- .ics
- .idl
- .idq
- .ilk
- .imc
- .img
- .inc
- .inf
- .ini
- .inl
- .inv
- .inx
- .in_
- .iqy
- .iso
- .IVF
- .jar
- .jav
- .java
- .jbf
- .jfif
- .jnlp
- .jnt
- .Job
- .jod
- .jpe
- .jpeg
- .jpg
- .js
- .JSE
- .jtp
- .jtx
- .kci
- .label
- .laccdb
- .latex
- .ldb
- .lex
- .lgn
- .lib
- .lnk
- .local
- .log
- .lst
- .m14
- .m1v
- .m3u
- .m4a
- .mad
- .maf
- .mag
- .mak
- .mam
- .man
- .maq
- .mar
- .mas
- .mat
- .mau
- .mav
- .maw
- .mda
- .mdb
- .mde
- .mdn
- .mdt
- .mdw
- .mgc
- .mht
- .mhtml
- .mid
- .midi
- .mig
- .mk
- .mlc
- .mmf
- .mml
- .mmw
- .mov
- .movie
- .mp2
- .mp2v
- .mp3
- .mpa
- .mpe
- .mpeg
- .mpf
- .mpg
- .mpv2
- .msc
- .msg
- .msi
- .msp
- .msu
- .mv
- .mydocs
- .ncb
- .nfo
- .nick
- .nk2
- .nls
- .nvr
- .obj
- .ocx
- .oc_
- .odc
- .odh
- .odl
- .odt
- .ofs
- .oft
- .ols
- .one
- .onepkg
- .onetoc
- .opc
- .oqy
- .osdx
- .ost
- .otf
- .otm
- .p10
- .p12
- .p7b
- .p7c
- .p7m
- .p7r
- .p7s
- .pab
- .pbk
- .pcb
- .pch
- .pdb
- .pdfxml
- .pds
- .pdx
- .pfm
- .pfx
- .php3
- .pic
- .pif
- .pip
- .pko
- .pl
- .plg
- .pls
- .pma
- .pmc
- .pml
- .pmr
- .pnf
- .png
- .pot
- .potm
- .potx
- .ppa
- .ppam
- .pps
- .ppsm
- .ppsx
- .ppt
- .pptm
- .pptx
- .pptxml
- .prc
- .prf
- .ps
- .ps1
- .ps1xml
- .psc1
- .psd
- .psd1
- .psm1
- .pst
- .pub
- .pwz
- .py
- .pyc
- .pyo
- .pys
- .pyw
- .qds
- .rat
- .rc
- .rc2
- .rct
- .RDP
- .reg
- .rels
- .res
- .rgs
- .rle
- .rll
- .rmi
- .rpc
- .rqy
- .rsp
- .rtf
- .rul
- .rwz
- .s
- .sbr
- .sc2
- .scc
- .scd
- .scf
- .sch
- .scp
- .scr
- .sct
- .sdl
- .sed
- .shtm
- .shtml
- .sit
- .sldm
- .sldx
- .slk
- .snd
- .sol
- .sor
- .spc
- .sql
- .srf
- .sr_
- .sst
- .stl
- .stm
- .swf
- .sym
- .sys
- .sy_
- .tab
- .tar
- .tdl
- .text
- .tgz
- .theme
- .thmx
- .tif
- .tiff
- .tlb
- .tlh
- .tli
- .trg
- .tsp
- .tsv
- .ttc
- .ttf
- .txt
- .udf
- .UDL
- .udt
- .URL
- .user
- .usr
- .uxdc
- .vb
- .VBE
- .vbproj
- .vbs
- .vbx
- .vcf
- .vcg
- .vcproj
- .vcs
- .vdx
- .viw
- .vsd
- .vspscc
- .vss
- .vsscc
- .vssscc
- .vst
- .vsx
- .vtx
- .vxd
- .wab
- .wav
- .wax
- .wbcat
- .wbk
- .wcx
- .wdp
- .webp
- .webpnp
- .wiz
- .wll
- .wlt
- .wm
- .wma
- .wmf
- .wmp
- .wmv
- .wmx
- .wmz
- .wpl
- .wps
- .wpt
- .wri
- .wsc
- .wsdl
- .WSF
- .WSH
- .wsz
- .wtf
- .wtx
- .wvx
- .x
- .xaml
- .xbap
- .xdp
- .xdr
- .xfdf
- .xht
- .xhtml
- .xix
- .xla
- .xlam
- .xlb
- .xlc
- .xlk
- .xll
- .xlm
- .xls
- .xlsb
- .xlsm
- .xlsx
- .xlt
- .xltm
- .xltx
- .xlw
- .xlxml
- .xml
- .xps
- .xrm-ms
- .xsd
- .xsf
- .xsl
- .xslt
- .xsn
- .xst
- .xtp
- .z
- .z96
- .zip
Renomme des fichiers chiffrés en leur attribuant les noms suivants :
- Lock.{original filename and extension}
Solutions
Step 1
En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.
Step 3
Supprimer cette valeur de registre
Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l"aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.
- In HKEY_CURRENT_USER\Control Panel\Desktop
- Wallpaper = "%User Temp%\wl.jpg"
- Wallpaper = "%User Temp%\wl.jpg"
Step 4
Effectuez un scan de l’ordinateur à l’aide de votre produit Trend Micro pour supprimer les fichiers spécifiés comme étant RANSOM_MIRCOP.A Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.
Participez à notre enquête!