RANSOM_DIRCRYPT.THACOH
Trojan-PSW.Win32.Fareit.anvg (KASPERSKY), Mal/Zbot-QU (SOPHOS_LITE), Trojan:Win32/Kovter.C (MICROSOFT)
Windows
Threat Type:
Ransomware
Destructiveness:
No
Encrypted:
No
In the wild::
Yes
OVERVIEW
Se conecta a determinados sitios Web para enviar y recibir información.
TECHNICAL DETAILS
Instalación
Infiltra los archivos siguientes:
- %Desktop%\{Random Characters}.zip
- %AppDataLocal%\{Random Characters}\{Random Character}.zip
(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).
)Crea las siguientes copias de sí mismo en el sistema afectado:
- %User Temp%\{Random Characters}.exe
- %AppDataLocal%\{Random Folder}\{Random Characters}.exe
- %System Root%\{GUID}\{Random Characters}.exe
- %Program Files%\{Random Folder}\{Random Characters}.exe
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
. %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).. %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).)Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:
- Global\{GUID}
Técnica de inicio automático
Crea las siguientes entradas de registro para activar la ejecución automática del componente infiltrado cada vez que arranque el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Random Characters} = %AppDataLocal%\{Random Folder}\{Random Characters}.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = %System%\userinit.exe,, %Program Files%\{Random Folder}\{Fandom Characters}.exe
Este malware infiltra el/los archivo(s) siguiente(s) en la carpeta de inicio del usuario de Windows para permitir su ejecución automática cada vez que se inicia el sistema:
- %User Startup%\{Random Characters}.exe
(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).
)Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SOFTWARE\{GUID}
ID = {Random Bytes}
HKEY_CURRENT_USER\Software\{GUID}
ID = {Random Bytes}
HKEY_CURRENT_USER\Software\{GUID}
PeriodDisabed = 1
HKEY_LOCAL_MACHINE\SOFTWARE\{GUID}
PeriodDisabed = 1
Modifica las siguientes claves de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DoNotAllowExceptions = 0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\wscsvc
Start = 4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\wuauserv
Start = 4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\MpsSvc
Start = 4
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UacDisableNotify = 1
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
DisableTaskMgr = 1
Otros detalles
Se conecta al sitio Web siguiente para enviar y recibir información:
- http://{BLOCKED}.{BLOCKED}.192.94
- http://{BLOCKED}.{BLOCKED}.26.251
- {Random Domain}.com
It uses domain generation algorithm (DGA) for its C&C servers.
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 3
Puesto que este malware se basa en la tecnología de rootkits, es posible que su detección y eliminación mediante los métodos de modo normal y seguro no lo elimine del todo. Este procedimiento reinicia el sistema mediante la Consola de recuperación de Windows.
- Introduzca el CD de instalación de Windows en la unidad de CD y pulse el botón de reinicio.
- Cuando se lo solicite el sistema, pulse cualquier tecla para arrancar desde la unidad de CD.
- En el menú principal, escriba la letra r para ir a la Consola de recuperación.
- Escriba la unidad que contiene Windows (normalmente C:) y pulse Intro.
- En el cuadro de entrada, escriba lo siguiente y pulse Intro:
Step 4
Eliminar esta clave del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_LOCAL_MACHINE\SOFTWARE\{GUID}
- ID = {Random Bytes}
- ID = {Random Bytes}
- In HKEY_LOCAL_MACHINE\SOFTWARE\{GUID}
- PeriodDisabed = 1
- PeriodDisabed = 1
- In HKEY_CURRENT_USER\Software\{GUID}
- ID = {Random Bytes}
- ID = {Random Bytes}
- In HKEY_CURRENT_USER\Software\{GUID}
- PeriodDisabed = 1
- PeriodDisabed = 1
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {Random Characters} = %AppDataLocal%\{Random Folder}\{Random Characters}.exe
- {Random Characters} = %AppDataLocal%\{Random Folder}\{Random Characters}.exe
Step 5
Restaurar este valor del Registro modificado
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- From: "Userinit = %System%\userinit.exe,, %Program Files%\{Random Folder}\{Fandom Characters}.exe"
To: "Userinit = %System%\userinit.exe"
- From: "Userinit = %System%\userinit.exe,, %Program Files%\{Random Folder}\{Fandom Characters}.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wdows\CurrentVersion\Policies\System
- From: "EnableLUA = 0"
To: "EnableLUA = 1"
- From: "EnableLUA = 0"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- From: "DisableNotifications = 1"
To: "DisableNotifications = 0"
- From: "DisableNotifications = 1"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- From: "DoNotAllowExceptions = 0"
To: "DoNotAllowExceptions = 1"
- From: "DoNotAllowExceptions = 0"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- From: "EnableFirewall = 0"
To: "EnableFirewall = 1"
- From: "EnableFirewall = 0"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\wscsvc
- From: "Start = 4"
To: "Start = 2"
- From: "Start = 4"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\wuauserv
- From: "Start = 4"
To: "Start = 2"
- From: "Start = 4"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\MpsSvc
- From: "Start = 4"
To: "Start = 2"
- From: "Start = 4"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: "AntiVirusOverride = 1"
To: "AntiVirusOverride = 0"
- From: "AntiVirusOverride = 1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: "AntiVirusDisableNotify = 1"
To: "AntiVirusDisableNotify = 0"
- From: "AntiVirusDisableNotify = 1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: "FirewallDisableNotify = 1"
To: "FirewallDisableNotify = 0"
- From: "FirewallDisableNotify = 1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: "FirewallOverride = 1"
To: "FirewallOverride = 0"
- From: "FirewallOverride = 1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: "UpdatesDisableNotify = 1"
To: "UpdatesDisableNotify = 0"
- From: "UpdatesDisableNotify = 1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: "UacDisableNotify = 1"
To: "UacDisableNotify = 0"
- From: "UacDisableNotify = 1"
- In HKEY_CURRENT_USER\Software\Microsoft\Wdows\CurrentVersion\Policies\system
- From: "DisableTaskMgr = 1"
To: "DisableTaskMgr = 0"
- From: "DisableTaskMgr = 1"
Step 6
Buscar y eliminar este archivo
- %AppDataLocal%\{Random Characters}\{Random Character}.zip
- %AppDataLocal%\{Random Folder}\{Random Characters}.exe
- %Desktop%\{Random Characters}.zip
- %Program Files%\{Random Folder}\{Random Characters}.exe
- %System Root%\{GUID}\{Random Characters}.exe
- %User Startup%\{Random Characters}.exe
- %User Temp%\{Random Characters}.exe
Step 7
Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como RANSOM_DIRCRYPT.THACOH En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Did this description help? Tell us how we did.