RANSOM_MIRCOP.A

Pour bénéficier d'un aperçu complet du comportement de ce programme espion, reportez-vous au diagramme des menaces présenté ci-dessous.

Infiltration sous forme de pièce jointe de messages de spam transmis par d''autres programmes malveillants/graywares/programmes espions ou par des utilisateurs malintentionnés.

Il dérobe certaines informations du système et/ou de l'utilisateur.

Précisions sur l'apparition de l'infection

Infiltration sous forme de pièce jointe de messages de spam transmis par d''autres programmes malveillants/graywares/programmes espions ou par des utilisateurs malintentionnés.

Installation

Introduit les fichiers/composants suivants :

• %User Startup%\MicroCop.lnk
• %User Temp%\PassW8.txt
• %User Temp%\Sqlite.dll
• %User Temp%\c.exe - steals information
• %User Temp%\wl.jpg - wallpaper
• %User Temp%\x.exe - encrypts files
• %User Temp%\y.exe - encrypts files

(Remarque : %User Startup% est le dossier Menu Démarrer de l'utilisateur actuel. Il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Menu Démarrer\Programmes\Démarrer sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Menu Démarrer\Programmes\Démarrer sous Windows NT ou de C:\Documents and Settings\{nom de l'utilisateur}\Menu Démarrer\Programmes\Démarrer.. %User Temp% est le dossier temporaire de l'utilisateur actuel, le plus souvent C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Temp sous Windows 2000, XP et Server 2003.)

Autres modifications du système

Ajoute les entrées de registre suivantes :

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%User Temp%\wl.jpg"

Vol d'informations

Il dérobe les informations suivantes :

• Filezilla
• Windows Mail
• Mozilla Firefox
• Google Chrome
• Opera
• Filezilla
• Skype

Autres précisions

Chiffre les fichiers en utilisant les extensions suivantes :

• .386
• .a
• .accda
• .accdb
• .accdc
• .accde
• .accdr
• .accdt
• .accdu
• .acl
• .ade
• .adn
• .adp
• .ai
• .aif
• .aifc
• .aiff
• .ani
• .ans
• .api
• .aps
• .art
• .asa
• .asc
• .ascx
• .asf
• .asm
• .asmx
• .asp
• .aspx
• .asx
• .au
• .avi
• .aw
• .bas
• .bat
• .bcp
• .bin
• .bkf
• .blg
• .bmp
• .bsc
• .btapp
• .btkey
• .btskin
• .c
• .cab
• .camp
• .cat
• .cc
• .cda
• .cdmp
• .cdx
• .cer
• .cgm
• .chk
• .chm
• .cls
• .cmd
• .cod
• .com
• .config
• .cpl
• .cpp
• .crd
• .crds
• .crl
• .crt
• .crtx
• .cs
• .csa
• .csproj
• .css
• .csv
• .cur
• .cxx
• .dat
• .db
• .dbg
• .dbs
• .dcr
• .dct
• .def
• .der
• .det
• .dib
• .dic
• .dir
• .disco
• .diz
• .dll
• .dl_
• .doc
• .docm
• .docx
• .docxml
• .dos
• .dot
• .dotm
• .dotx
• .dqy
• .drv
• .dsn
• .dsp
• .dsw
• .dtd
• .dwfx
• .dxr
• .easmx
• .edrwx
• .elm
• .emf
• .epf
• .eprtx
• .eps
• .etp
• .evt
• .evtx
• .exc
• .exp
• .ext
• .ex_
• .eyb
• .fad
• .faq
• .fav
• .fdf
• .fdm
• .fif
• .fky
• .fnd
• .fnt
• .fon
• .gadget
• .gcsx
• .gfs
• .ghi
• .gif
• .glk
• .glox
• .gmmp
• .gqsx
• .gra
• .group
• .grp
• .grv
• .gsa
• .gta
• .gz
• .h
• .H1C
• .H1D
• .H1F
• .H1H
• .H1K
• .H1Q
• .H1S
• .H1T
• .H1V
• .H1W
• .hdp
• .hhc
• .hlp
• .hol
• .hpp
• .hqx
• .hta
• .htc
• .htm
• .html
• .htt
• .htw
• .htx
• .hxa
• .hxc
• .hxd
• .hxe
• .hxf
• .hxh
• .hxi
• .hxk
• .hxq
• .hxr
• .hxs
• .hxt
• .hxv
• .hxw
• .hxx
• .i
• .ibc
• .ibq
• .icc
• .icl
• .icm
• .ico
• .ics
• .idl
• .idq
• .ilk
• .imc
• .img
• .inc
• .inf
• .ini
• .inl
• .inv
• .inx
• .in_
• .iqy
• .iso
• .IVF
• .jar
• .jav
• .java
• .jbf
• .jfif
• .jnlp
• .jnt
• .Job
• .jod
• .jpe
• .jpeg
• .jpg
• .js
• .JSE
• .jtp
• .jtx
• .kci
• .label
• .laccdb
• .latex
• .ldb
• .lex
• .lgn
• .lib
• .lnk
• .local
• .log
• .lst
• .m14
• .m1v
• .m3u
• .m4a
• .mad
• .maf
• .mag
• .mak
• .mam
• .man
• .maq
• .mar
• .mas
• .mat
• .mau
• .mav
• .maw
• .mda
• .mdb
• .mde
• .mdn
• .mdt
• .mdw
• .mgc
• .mht
• .mhtml
• .mid
• .midi
• .mig
• .mk
• .mlc
• .mmf
• .mml
• .mmw
• .mov
• .movie
• .mp2
• .mp2v
• .mp3
• .mpa
• .mpe
• .mpeg
• .mpf
• .mpg
• .mpv2
• .msc
• .msg
• .msi
• .msp
• .msu
• .mv
• .mydocs
• .ncb
• .nfo
• .nick
• .nk2
• .nls
• .nvr
• .obj
• .ocx
• .oc_
• .odc
• .odh
• .odl
• .odt
• .ofs
• .oft
• .ols
• .one
• .onepkg
• .onetoc
• .opc
• .oqy
• .osdx
• .ost
• .otf
• .otm
• .p10
• .p12
• .p7b
• .p7c
• .p7m
• .p7r
• .p7s
• .pab
• .pbk
• .pcb
• .pch
• .pdb
• .pdf
• .pdfxml
• .pds
• .pdx
• .pfm
• .pfx
• .php3
• .pic
• .pif
• .pip
• .pko
• .pl
• .plg
• .pls
• .pma
• .pmc
• .pml
• .pmr
• .pnf
• .png
• .pot
• .potm
• .potx
• .ppa
• .ppam
• .pps
• .ppsm
• .ppsx
• .ppt
• .pptm
• .pptx
• .pptxml
• .prc
• .prf
• .ps
• .ps1
• .ps1xml
• .psc1
• .psd
• .psd1
• .psm1
• .pst
• .pub
• .pwz
• .py
• .pyc
• .pyo
• .pys
• .pyw
• .qds
• .rat
• .rc
• .rc2
• .rct
• .RDP
• .reg
• .rels
• .res
• .rgs
• .rle
• .rll
• .rmi
• .rpc
• .rqy
• .rsp
• .rtf
• .rul
• .rwz
• .s
• .sbr
• .sc2
• .scc
• .scd
• .scf
• .sch
• .scp
• .scr
• .sct
• .sdl
• .sed
• .shtm
• .shtml
• .sit
• .sldm
• .sldx
• .slk
• .snd
• .sol
• .sor
• .spc
• .sql
• .srf
• .sr_
• .sst
• .stl
• .stm
• .swf
• .sym
• .sys
• .sy_
• .tab
• .tar
• .tdl
• .text
• .tgz
• .theme
• .thmx
• .tif
• .tiff
• .tlb
• .tlh
• .tli
• .trg
• .tsp
• .tsv
• .ttc
• .ttf
• .txt
• .udf
• .UDL
• .udt
• .URL
• .user
• .usr
• .uxdc
• .vb
• .VBE
• .vbproj
• .vbs
• .vbx
• .vcf
• .vcg
• .vcproj
• .vcs
• .vdx
• .viw
• .vsd
• .vspscc
• .vss
• .vsscc
• .vssscc
• .vst
• .vsx
• .vtx
• .vxd
• .wab
• .wav
• .wax
• .wbcat
• .wbk
• .wcx
• .wdp
• .webp
• .webpnp
• .wiz
• .wll
• .wlt
• .wm
• .wma
• .wmf
• .wmp
• .wmv
• .wmx
• .wmz
• .wpl
• .wps
• .wpt
• .wri
• .wsc
• .wsdl
• .WSF
• .WSH
• .wsz
• .wtf
• .wtx
• .wvx
• .x
• .xaml
• .xbap
• .xdp
• .xdr
• .xfdf
• .xht
• .xhtml
• .xix
• .xla
• .xlam
• .xlb
• .xlc
• .xlk
• .xll
• .xlm
• .xls
• .xlsb
• .xlsm
• .xlsx
• .xlt
• .xltm
• .xltx
• .xlw
• .xlxml
• .xml
• .xps
• .xrm-ms
• .xsd
• .xsf
• .xsl
• .xslt
• .xsn
• .xst
• .xtp
• .z
• .z96
• .zip

Renomme des fichiers chiffrés en leur attribuant les noms suivants :

• Lock.{original filename and extension}