Analisado por: Roland Marco Dela Paz   

 

Trojan:Win32/Ransom.FL (Microsoft)

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Trojan

  • Destrutivo:
    Não

  • Criptografado:
    Sim

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Baixados da Internet

Para obter uma visão rápida e abrangente do comportamento deste Trojan, consulte o Diagrama de Ameaças abaixo.

Pode ser baixado involuntariamente por um usuário ao visitar sites da Web mal-intencionados.

  Detalhes técnicos

Tipo de compactação: Varía
Tipo de arquivo: EXE
Residente na memória: Sim
Data de recebimento das amostras iniciais: 21 de febrero de 2012
Carga útil: Displays graphics/image

Detalhes da chegada

Pode ser baixado involuntariamente por um usuário ao visitar sites da Web mal-intencionados.

Instalao

Ele deixa as seguintes cópias dele mesmo no sistema infectado:

  • %Windows%\explorer.exe
  • %System%\explorer.exe

(Observação: %Windows% é a pasta do Windows, que geralmente é C:\Windows ou C:\WINNT).

. %System% é a pasta de sistema do Windows, que geralmente é C:\Windows\System, no Windows 98 e ME; C:\WINNT\System32, no Windows NT e 2000; ou C:\Windows\System32, no Windows XP e Server 2003).

)

Encerramento de processo

Ele encerra processos ou serviços que contenham qualquer uma das seguintes strings, se encontrados executando na memória do sistema infectado:

  • taskmgr.exe
  • procexp.exe

  Solução

Mecanismo de varredura mínima: 9.200
Primeiro arquivo padrão VSAPI: 8.792.08
Data do lançamento do primeiro padrão VSAPI: 21 de febrero de 2012
VSAPI OPR Pattern Version: 8.793.00
VSAPI OPR Pattern veröffentlicht am: 22 de febrero de 2012

Step 1

Para os usuários do Windows ME e XP, antes de realizar qualquer varredura, verifique se você desabilitou a Restauração do Sistema para permitir a varredura completa do computador.

Step 2

Faça uma varredura em seu computador com o produto Trend Micro para excluir os arquivos detectados como TROJ_RANSOM.BOV Se os arquivos detectados já tiverem sido limpos, excluídos ou colocados em quarentena pelo seu produto da Trend Micro, nada mais é necessário. Você pode optar por simplesmente excluir os arquivos em quarentena. Para obter mais informações, verifique a página da Base de Conhecimento.


Participe da nossa pesquisa!