TROJ_CRYPCTB.YVN

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

• %User Temp%\{random characters 1}.exe

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Infiltra los archivos siguientes:

• %ProgramData%\{random characters 2}.html (contains ransom note and list of all encrypted files)
• %User Profile%\My Documents\!Decrypt-All-Files-{random characters 3}.txt (ransom note in text file)
• %User Profile%\My Documents\!Decrypt-All-Files-{random characters 3}.bmp (image used as wallpaper)
• {randomly selected path}\!Decrypt-All-Files-{random characters 3}.txt
• {randomly selected path}\!Decrypt-All-Files-{random characters 3}.bmp

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

Técnica de inicio automático

Infiltra los archivos siguientes:

• %System%\Tasks\{random characters 4}.job

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Otras modificaciones del sistema

Modifica las siguientes entradas de registro:

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = "0"

(Note: The default value data of the said registry entry is "User Preferences".)

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%User Profile%\My Documents\!Decrypt-All-Files-{random characters 3}.bmp"

(Note: The default value data of the said registry entry is "{User Preferences}".)