Analisado por: Roland Marco Dela Paz   

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Trojan

  • Destrutivo:
    Não

  • Criptografado:
    Sim

  • In the Wild:
    Sim

  Visão geral

Para obter uma visão rápida e abrangente do comportamento deste Trojan, consulte o Diagrama de Ameaças abaixo.

Pode ser baixado involuntariamente por um usuário ao visitar sites da Web mal-intencionados.

Ele usa ícones semelhantes aos dos aplicativos válidos para motivar o usuário a clicar neles.

  Detalhes técnicos

Tipo de compactação: 30,720 bytes
Residente na memória: Sim
Data de recebimento das amostras iniciais: 30 de diciembre de 2010
Carga útil: Displays message/message boxes

Detalhes da chegada

Pode ser baixado involuntariamente por um usuário ao visitar sites da Web mal-intencionados.

Instalao

Ele deixa as seguintes cópias dele mesmo no sistema infectado:

  • %System%\usrinit.exe

(Observação: %System% é a pasta de sistema do Windows, que geralmente é C:\Windows\System, no Windows 98 e ME; C:\WINNT\System32, no Windows NT e 2000; ou C:\Windows\System32, no Windows XP e Server 2003).

)

Tcnica de inicializao automtica

Ele modifica as seguintes entradas de registro para garantir sua execução automática a cada inicialização do sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = %System%\userinit.exe,%System%\usrinit.exe

(Note: The default value data of the said registry entry is %System%\userinit.exe,.)

Propagao

Ele usa ícones semelhantes aos dos aplicativos válidos para motivar o usuário a clicar neles.

  Solução

Mecanismo de varredura mínima: 8.900
Primeiro arquivo padrão VSAPI: 7.768.10
Data do lançamento do primeiro padrão VSAPI: 14 de enero de 2011
VSAPI OPR Pattern Version: 7.769.00
VSAPI OPR Pattern veröffentlicht am: 14 de enero de 2011

Step 1

Para os usuários do Windows ME e XP, antes de realizar qualquer varredura, verifique se você desabilitou a Restauração do Sistema para permitir a varredura completa do computador.

Step 2

Como este malware usa a tecnologia rootkit, a detecção e a remoção pelos métodos normal e em modo de segurança talvez não o eliminem completamente. Este procedimento reinicia o sistema usando o Console de Recuperação do Windows.

  1. Insira o CD de instalação do Windows na unidade de CD e pressione o botão reiniciar.
  2. Ao ser solicitado, pressione qualquer tecla para inicializar a partir do CD.
  3. No menu principal, digite r para entrar no Console de Recuperação.
  4. Digite a unidade que contém o Windows (normalmente C:\) e pressione a tecla Enter.
  5. Na caixa de entrada, digite o seguinte e pressione a tecla Enter:
    del %System%\usrinit.exe
  6. Digite exit e pressione a tecla Enter para reiniciar o sistema normalmente.

Step 3

Restaure este valor modificado de registro

[ Saber mais ]

Importante: Editar o Registro do Windows de maneira incorreta pode causar danos irreversíveis ao sistema. Realize esta etapa apenas se você tiver conhecimento ou tiver como pedir ajuda ao administrador do seu sistema. Ou então, verifique primeiro este artigo da Microsoft antes de modificar o registro do seu computador.

 
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    • From: Userinit = %System%\userinit.exe,%System%\usrinit.exe
      To: Userinit = %System%\userinit.exe,

Step 4

Faça uma varredura em seu computador com o produto Trend Micro para excluir os arquivos detectados como TROJ_RANSOM.QOWA Se os arquivos detectados já tiverem sido limpos, excluídos ou colocados em quarentena pelo seu produto da Trend Micro, nada mais é necessário. Você pode optar por simplesmente excluir os arquivos em quarentena. Para obter mais informações, verifique a página da Base de Conhecimento.


Participe da nossa pesquisa!

Entradas de blog relacionadas