Analisado por: Christopher Daniel So   
 Modificado por: : Mark Joseph Manahan

 

Trojan:Win32/Crowti.A (Microsoft) ,a variant of Win32/Injector.BADI trojan (Eset)

 Plataforma:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Trojan

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Caiu por outro malware, Baixados da Internet

Ele chega como um anexo de mensagem de spam enviada por outro malware/grayware/spyware ou usuários mal-intencionados.

Coleta determinadas informações sobre o computador infectado.

Ele se conecta a determinados sites da Web para enviar e receber informações.

  Detalhes técnicos

Tipo de compactação: 241,664 bytes
Tipo de arquivo: EXE
Residente na memória: Sim
Data de recebimento das amostras iniciais: 29 de marzo de 2014
Carga útil: Steals information, Compromises system security, Connects to URLs/IPs

Detalhes da chegada

Ele chega como um anexo de mensagem de spam enviada por outro malware/grayware/spyware ou usuários mal-intencionados.

Instalao

Ele deixa os seguintes arquivos:

  • %Desktop%\HOW_DECRYPT.TXT
  • %Desktop%\HOW_DECRYPT.HTML
  • %Desktop%\HOW_DECRYPT.URL
  • %User Startup%\HOW_DECRYPT.TXT
  • %User Startup%\HOW_DECRYPT.HTML
  • %User Startup%\HOW_DECRYPT.URL

(Observação: %Desktop% é a área de trabalho do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}\Desktop, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}\Desktop, no Windows NT; e C:\Documents and Settings\{nome do usuário}\Desktop, no Windows 2000, XP e Server 2003.. %User Startup% é a pasta de inicialização do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}\Start Menu\Programs\Startup, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}\Start Menu\Programs\Startup, no Windows NT; e C:\Documents and Settings\{nome do usuário}\Start Menu\Programs\Startup.)

Ele deixa as seguintes cópias dele mesmo no sistema infectado:

  • %System Root%{7 characters from UID}\{7 characters from UID}.exe
  • %Application Data%\{7 characters from UID}.exe
  • %User Startup%\{7 characters from UID}.exe

(Observação: %System Root% é a pasta raiz que, geralmente, é C:\. Também é o local em que se encontra o sistema operacional.. %Application Data% é a pasta de dados de aplicativos do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}\Application Data, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}\Application Data, no Windows NT; e C:\Documents and Settings\{nome do usuário}\Local Settings\Application Data, no Windows 2000, XP e Server 2003.. %User Startup% é a pasta de inicialização do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}\Start Menu\Programs\Startup, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}\Start Menu\Programs\Startup, no Windows NT; e C:\Documents and Settings\{nome do usuário}\Start Menu\Programs\Startup.)

Ele cria as seguintes pastas:

  • %System Root%\{7 characters from UID}

(Observação: %System Root% é a pasta raiz que, geralmente, é C:\. Também é o local em que se encontra o sistema operacional.)

Tcnica de inicializao automtica

Ele adiciona as seguintes entradas de registro para habilitar sua execução automática a cada inicialização do sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{6 characters from UID} = "%System Root%{7 characters from UID}\{7 characters from UID}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{7characters from UID} = "%Application Data%\{7 characters from UID}.exe"

Outras modificaes no sistema

Adiciona estas chaves de registro:

HKEY_CURRENT_USER\Software\{UID}

HKEY_CURRENT_USER\Software\{UID}
HKEY_CURRENT_USER\Software\{UID}\DISKS =

HKEY_CURRENT_USER\Software\{UID}
PROTECTED =

Ele adiciona as seguintes entradas de registro:

HKEY_CURRENT_USER\Software\{UID}\
PROTECTED\{Path of encrypted file}
{Filename of encrypted file} = ""

Roubo de informaes

Coleta as seguintes informações sobre o computador infectado:

  • Unique Identifier (UID)
  • Machine Screenshot

Outros detalhes

Ele se conecta ao seguinte site da Web para enviar e receber informações:

  • http://{BLOCKED}esraka.com/{random alphanumeric characters}
  • http://{BLOCKED}azerbaijan.com/{random alphanumeric characters}
  • http://{BLOCKED}zasamvel.com/{random alphanumeric characters}

  Solução

Mecanismo de varredura mínima: 9.700
Primeiro arquivo padrão VSAPI: 10.678.01
Data do lançamento do primeiro padrão VSAPI: 20 de marzo de 2014

Step 1

Para os usuários do Windows ME e XP, antes de realizar qualquer varredura, verifique se você desabilitou a Restauração do Sistema para permitir a varredura completa do computador.

Step 2

Faça uma varredura em seu computador com o produto Trend Micro e anote os arquivos detectados como TROJ_CRYPTRBIT.H

Step 3

Reinicie em Modo de Segurança

[ Saber mais ]

Step 4

Exclua esta chave de registro

[ Saber mais ]

Importante: Editar o Registro do Windows de maneira incorreta pode causar danos irreversíveis ao sistema. Realize esta etapa apenas se você tiver conhecimento ou tiver como pedir ajuda ao administrador do seu sistema. Ou então, verifique primeiro este artigo da Microsoft antes de modificar o registro do seu computador.

  • In HKEY_CURRENT_USER\Software
    • {UID}

Step 5

Pesquise e exclua esta pasta

[ Saber mais ]
Verifique se a caixa de seleção Pesquisar pastas e arquivos ocultos em 'Mais opções avançadas' está marcada para incluir todas as pastas ocultas no resultado da pesquisa.
  • %System Root%\{random name}

Step 6

Pesquise e exclua esses arquivos

[ Saber mais ]
Pode ser que alguns arquivos de componente estejam ocultos. Verifique se a caixa de seleção Pesquisar pastas e arquivos ocultos em "Mais opções avançadas" está marcada para incluir todas as pastas e arquivos ocultos no resultado da pesquisa.
  • %Desktop%\HOW_DECRYPT.TXT
  • %Desktop%\HOW_DECRYPT.HTML
  • %Desktop%\HOW_DECRYPT.URL
  • %User Startup%\HOW_DECRYPT.TXT
  • %User Startup%\HOW_DECRYPT.HTML
  • %User Startup%\HOW_DECRYPT.URL
  • {Folder Path and Name}\HOW_DECRYPT.TXT
  • {Folder Path and Name}\HOW_DECRYPT.HTML
  • {Folder Path and Name}\HOW_DECRYPT.URL
DATA_GENERIC_FILENAME_1
  • Na lista suspensa Procurar em, selecione Meu Computador e pressione a tecla Enter.
  • Uma vez localizado, selecione o arquivo e pressione SHIFT+DELETE para excluí-lo permanentemente.
  • Repita as etapas de 2 a 4 para os arquivos restantes:
      • %Desktop%\HOW_DECRYPT.TXT
      • %Desktop%\HOW_DECRYPT.HTML
      • %Desktop%\HOW_DECRYPT.URL
      • %User Startup%\HOW_DECRYPT.TXT
      • %User Startup%\HOW_DECRYPT.HTML
      • %User Startup%\HOW_DECRYPT.URL
      • {Folder Path and Name}\HOW_DECRYPT.TXT
      • {Folder Path and Name}\HOW_DECRYPT.HTML
      • {Folder Path and Name}\HOW_DECRYPT.URL
  • Step 7

    Reinicie no modo normal e faça uma varredura em seu computador com o produto da Trend Micro em busca de arquivos detectados como TROJ_CRYPTRBIT.H Se os arquivos detectados já tiverem sido limpos, excluídos ou colocados em quarentena pelo seu produto da Trend Micro, nada mais é necessário. Você pode optar por simplesmente excluir os arquivos em quarentena. Para obter mais informações, verifique a página da Base de Conhecimento.


    Participe da nossa pesquisa!