撰文: Rhena Inocencio   

 :

Backdoor.Win32.Androm.dowv (Kaspersky), Trojan.Fakeavlock (Symantec), Mal/VBInj-AO (Sophos), Win32/Filecoder.CE trojan (ESET)

 平台:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 整體風險評比:
 潛在威脅性:
 潛在散播風險:
 報告感染 :
 資訊暴露評比:

  • 惡意程式類型:
    Trojan

  • 具破壞性:

  • 被加密:

  • In the wild:

  總覽與描述

感染管道: 從互聯網上下載, 下降了其他惡意軟件

要获取此间谍软件行为的简要综述,请参考以下“威胁图”。

它可能是由其他惡意程式/可能的資安威脅程式/間諜程式從遠端網站所下載。

  詳細技術資訊

檔案大小: 312,032 bytes
檔案類型: EXE
記憶體常駐型:
首批樣本接收日期: 2014年3月9日

到達詳細資訊

它可能是由下列惡意程式/可能的資安威脅程式/間諜程式從遠端網站所下載:

  • TSPY_FAREIT.BB

它可能是從下列遠端網站所下載:

  • http://{BLOCKED}directory.com/file/win.exe

安裝

它會放置下列元件檔案:

  • %Application Data%\BitCrypt.txt - contains ransom message
  • %Application Data%\BitCrypt.bmp - used as wallpaper
  • %Application Data%\bitcrypt.ccw - configuration file

(注意:%Application Data% 是目前使用者的 Application Data 資料夾,通常是 C:\Windows\Profiles\{user name}\Application Data(Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT),以及 C:\Documents and Settings\{user name}\Local Settings\Application Data(Windows 2000、XP 和 Server 2003)。)

它會將本身的下列副本放置到受影響的系統:

  • %Application Data%\{random filename}.exe - deleted after encryption routine

(注意:%Application Data% 是目前使用者的 Application Data 資料夾,通常是 C:\Windows\Profiles\{user name}\Application Data(Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT),以及 C:\Documents and Settings\{user name}\Local Settings\Application Data(Windows 2000、XP 和 Server 2003)。)

它會留下含有下列內容的文字檔做為拼湊文字 (ransom note):

自動啟動技術

它會新增下列登錄項目,使其在每次系統啟動時自動執行:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Bitcomint = "%Application Data%\{random filename}.exe" (This is deleted after the malware successfully encrypted user's files)

其他系統修改

它會刪除下列登錄機碼:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Network

它會將系統的桌面底色圖案設為下列影像:

處理程序終止

如果在受影響系統的記憶體中發現包含下列任一字串的處理程序或服務正在執行,它會終止那些處理程序或服務:

  • taskmgr.exe
  • regedit.exe

其他詳細資訊

它會加密副檔名如下的檔案:

  • *.dbf
  • *.mdb
  • *.mde
  • *.xls
  • *.xlw
  • *.docx
  • *.doc
  • *.cer
  • *.key
  • *.rtf
  • *.xlsm
  • *.xlsx
  • *.txt
  • *.xlc
  • *.docm
  • *.xlk
  • *.text
  • *.ppt
  • *.djvu
  • *.pdf
  • *.lzo
  • *.djv
  • *.cdx
  • *.cdt
  • *.cdr
  • *.bpg
  • *.xfm
  • *.dfm
  • *.pas
  • *.dpk
  • *.dpr
  • *.frm
  • *.vbp
  • *.php
  • *.js
  • *.wri
  • *.css
  • *.asm
  • *.jpg
  • *.jpeg
  • *.dbx
  • *.dbt
  • *.odc
  • *.sql
  • *.abw
  • *.pab
  • *.vsd
  • *.xsf
  • *.xsn
  • *.pps
  • *.lzh
  • *.pgp
  • *.arj
  • *.gz
  • *.pst
  • *.xl

  解決方案

最低掃瞄引擎: 9.700
VSAPI OPR 病毒碼版本: 10.657.00
VSAPI OPR 病毒碼發行日期: 2014年3月10日

Step 1

對於 Windows ME 和 XP 使用者,在執行任何掃瞄之前,請確定您已關閉「系統還原」,以便能完整掃瞄您的電腦。

Step 3

搜尋並刪除這些檔案

[ 學到更多 ]
有些可能是隱藏的元件檔案。請確定您已在「進階選項」中選取「搜尋隱藏的檔案和資料夾」核取方塊,以在搜尋結果中包含所有隱藏的檔案和資料夾。  
  • %Application Data%\BitCrypt.txt
  • %Application Data%\BitCrypt.bmp
  • %Application Data%\bitcrypt.ccw

Step 4

還原已刪除的登錄機碼

  1. 仍停留在「登錄編輯程式」的左窗格中,按兩下下列項目:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
    Control>SafeBoot>Minimal
  2. 在機碼上按一下滑鼠右鍵,然後選擇「新增∣機碼」。將新機碼的值變更為:
    {4D36E967-E325-11CE-BFC1-08002BE10318}
  3. 在「值名稱」上按一下滑鼠右鍵,然後選擇「修改」。將此項目的「值資料」變更為:
    DiskDrive
  4. 在左窗格中,按兩下下列項目:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
    Control>SafeBoot>Network
  5. 在機碼上按一下滑鼠右鍵,然後選擇「新增∣機碼」。將新機碼的值變更為:
    {4D36E967-E325-11CE-BFC1-08002BE10318}
  6. 在「值名稱」上按一下滑鼠右鍵,然後選擇「修改」。將此項目的「值資料」變更為:
    DiskDrive
  7. 關閉「登錄編輯程式」。

Step 5

使用您的趨勢科技產品掃瞄電腦,以刪除所偵測到如 TROJ_CRIBIT.B 的檔案 如果偵測到的檔案已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的動作。您可以選擇刪除隔離的檔案。請參考此常見問題集頁面瞭解詳細資訊。


說說您對安全威脅百科的想法