- Encyclopédie des menaces
- Programme Malveillant
- TROJ_CRIBIT.B
Backdoor.Win32.Androm.dowv (Kaspersky), Trojan.Fakeavlock (Symantec), Mal/VBInj-AO (Sophos), Win32/Filecoder.CE trojan (ESET)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Pour bénéficier d'un aperçu complet du comportement de ce programme espion, reportez-vous au diagramme des menaces présenté ci-dessous.
Possibilité de téléchargement par d''autres programmes malveillants/graywares/programmes espions depuis des sites distants.
Précisions sur l'apparition de l'infection
Possibilité de téléchargement par les programmes malveillants/graywares/programmes espions suivants depuis des sites distants :
Peut être téléchargé depuis les sites distants suivants :
Installation
Introduit les fichiers de composant suivants :
(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.)
Introduit les duplicats suivants au sein du système affecté.
(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.)
Dépose des fichiers texte servant de demandes de rançon contenant les données suivantes :
Technique de démarrage automatique
Ajoute les entrées de registre suivantes afin de s'exécuter automatiquement à chaque démarrage système :
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Bitcomint = "%Application Data%\{random filename}.exe" (This is deleted after the malware successfully encrypted user's files)
Autres modifications du système
Supprime les clés de registre suivantes :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Network
Définit l'image suivante comme papier peint du bureau du système :
Interruption de processus
Met fin aux processus suivants exécutés au niveau de la mémoire du système affecté :
Autres précisions
Chiffre les fichiers en utilisant les extensions suivantes :
Step 1
En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.
Step 3
Recherche et suppression de ces fichiers
Step 4
Rétablissement des clés de registre supprimées
Step 5
Effectuez un scan de l’ordinateur à l’aide de votre produit Trend Micro pour supprimer les fichiers spécifiés comme étant TROJ_CRIBIT.B Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.