撰文: Jennifer Gumban   

 平台:

Windows

 整體風險評比:
 潛在威脅性:
 潛在散播風險:
 報告感染 :
 資訊暴露評比:

  • 惡意程式類型:
    Trojan

  • 具破壞性:

  • 被加密:

  • In the wild:

  總覽與描述

要获取此间谍软件行为的简要综述,请参考以下“威胁图”。

它的傳播途徑是藉由其他惡意程式/可能的資安威脅程式/間諜程式或惡意使用者,以垃圾郵件的方式夾帶於電子郵件訊息附件。

它會竊取系統和(或)使用者的特定資訊。

  詳細技術資訊

檔案大小: 1,363,285 bytes
檔案類型: EXE
記憶體常駐型:
首批樣本接收日期: 2016年6月22日

到達詳細資訊

它的傳播途徑是藉由其他惡意程式/可能的資安威脅程式/間諜程式或惡意使用者,以垃圾郵件的方式夾帶於電子郵件訊息附件。

安裝

它會放置下列檔案元件:

  • %User Startup%\MicroCop.lnk
  • %User Temp%\PassW8.txt
  • %User Temp%\Sqlite.dll
  • %User Temp%\c.exe - steals information
  • %User Temp%\wl.jpg - wallpaper
  • %User Temp%\x.exe - encrypts files
  • %User Temp%\y.exe - encrypts files

(注意:%User Startup% 是目前使用者的「啟動」資料夾,通常是 C:\Windows\Profiles\{user name}\「開始」功能表\程式集\啟動(Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\「開始」功能表\程式集\啟動 (Windows NT),以及 C:\Documents and Settings\{User name}\「開始」功能表\程式集\啟動。. %User Temp% 是目前使用者的 Temp 資料夾,通常是 C:\Documents and Settings\{user name}\Local Settings\Temp(Windows 2000、XP 和 Server 2003)。)

其他系統修改

它會新增下列登錄項目:

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%User Temp%\wl.jpg"

資訊遭竊

它會竊取下列資訊:

  • Filezilla
  • Windows Mail
  • Mozilla Firefox
  • Google Chrome
  • Opera
  • Filezilla
  • Skype

其他詳細資訊

它會加密副檔名如下的檔案:

  • .386
  • .a
  • .accda
  • .accdb
  • .accdc
  • .accde
  • .accdr
  • .accdt
  • .accdu
  • .acl
  • .ade
  • .adn
  • .adp
  • .ai
  • .aif
  • .aifc
  • .aiff
  • .ani
  • .ans
  • .api
  • .aps
  • .art
  • .asa
  • .asc
  • .ascx
  • .asf
  • .asm
  • .asmx
  • .asp
  • .aspx
  • .asx
  • .au
  • .avi
  • .aw
  • .bas
  • .bat
  • .bcp
  • .bin
  • .bkf
  • .blg
  • .bmp
  • .bsc
  • .btapp
  • .btkey
  • .btskin
  • .c
  • .cab
  • .camp
  • .cat
  • .cc
  • .cda
  • .cdmp
  • .cdx
  • .cer
  • .cgm
  • .chk
  • .chm
  • .cls
  • .cmd
  • .cod
  • .com
  • .config
  • .cpl
  • .cpp
  • .crd
  • .crds
  • .crl
  • .crt
  • .crtx
  • .cs
  • .csa
  • .csproj
  • .css
  • .csv
  • .cur
  • .cxx
  • .dat
  • .db
  • .dbg
  • .dbs
  • .dcr
  • .dct
  • .def
  • .der
  • .det
  • .dib
  • .dic
  • .dir
  • .disco
  • .diz
  • .dll
  • .dl_
  • .doc
  • .docm
  • .docx
  • .docxml
  • .dos
  • .dot
  • .dotm
  • .dotx
  • .dqy
  • .drv
  • .dsn
  • .dsp
  • .dsw
  • .dtd
  • .dwfx
  • .dxr
  • .easmx
  • .edrwx
  • .elm
  • .emf
  • .epf
  • .eprtx
  • .eps
  • .etp
  • .evt
  • .evtx
  • .exc
  • .exp
  • .ext
  • .ex_
  • .eyb
  • .fad
  • .faq
  • .fav
  • .fdf
  • .fdm
  • .fif
  • .fky
  • .fnd
  • .fnt
  • .fon
  • .gadget
  • .gcsx
  • .gfs
  • .ghi
  • .gif
  • .glk
  • .glox
  • .gmmp
  • .gqsx
  • .gra
  • .group
  • .grp
  • .grv
  • .gsa
  • .gta
  • .gz
  • .h
  • .H1C
  • .H1D
  • .H1F
  • .H1H
  • .H1K
  • .H1Q
  • .H1S
  • .H1T
  • .H1V
  • .H1W
  • .hdp
  • .hhc
  • .hlp
  • .hol
  • .hpp
  • .hqx
  • .hta
  • .htc
  • .htm
  • .html
  • .htt
  • .htw
  • .htx
  • .hxa
  • .hxc
  • .hxd
  • .hxe
  • .hxf
  • .hxh
  • .hxi
  • .hxk
  • .hxq
  • .hxr
  • .hxs
  • .hxt
  • .hxv
  • .hxw
  • .hxx
  • .i
  • .ibc
  • .ibq
  • .icc
  • .icl
  • .icm
  • .ico
  • .ics
  • .idl
  • .idq
  • .ilk
  • .imc
  • .img
  • .inc
  • .inf
  • .ini
  • .inl
  • .inv
  • .inx
  • .in_
  • .iqy
  • .iso
  • .IVF
  • .jar
  • .jav
  • .java
  • .jbf
  • .jfif
  • .jnlp
  • .jnt
  • .Job
  • .jod
  • .jpe
  • .jpeg
  • .jpg
  • .js
  • .JSE
  • .jtp
  • .jtx
  • .kci
  • .label
  • .laccdb
  • .latex
  • .ldb
  • .lex
  • .lgn
  • .lib
  • .lnk
  • .local
  • .log
  • .lst
  • .m14
  • .m1v
  • .m3u
  • .m4a
  • .mad
  • .maf
  • .mag
  • .mak
  • .mam
  • .man
  • .maq
  • .mar
  • .mas
  • .mat
  • .mau
  • .mav
  • .maw
  • .mda
  • .mdb
  • .mde
  • .mdn
  • .mdt
  • .mdw
  • .mgc
  • .mht
  • .mhtml
  • .mid
  • .midi
  • .mig
  • .mk
  • .mlc
  • .mmf
  • .mml
  • .mmw
  • .mov
  • .movie
  • .mp2
  • .mp2v
  • .mp3
  • .mpa
  • .mpe
  • .mpeg
  • .mpf
  • .mpg
  • .mpv2
  • .msc
  • .msg
  • .msi
  • .msp
  • .msu
  • .mv
  • .mydocs
  • .ncb
  • .nfo
  • .nick
  • .nk2
  • .nls
  • .nvr
  • .obj
  • .ocx
  • .oc_
  • .odc
  • .odh
  • .odl
  • .odt
  • .ofs
  • .oft
  • .ols
  • .one
  • .onepkg
  • .onetoc
  • .opc
  • .oqy
  • .osdx
  • .ost
  • .otf
  • .otm
  • .p10
  • .p12
  • .p7b
  • .p7c
  • .p7m
  • .p7r
  • .p7s
  • .pab
  • .pbk
  • .pcb
  • .pch
  • .pdb
  • .pdf
  • .pdfxml
  • .pds
  • .pdx
  • .pfm
  • .pfx
  • .php3
  • .pic
  • .pif
  • .pip
  • .pko
  • .pl
  • .plg
  • .pls
  • .pma
  • .pmc
  • .pml
  • .pmr
  • .pnf
  • .png
  • .pot
  • .potm
  • .potx
  • .ppa
  • .ppam
  • .pps
  • .ppsm
  • .ppsx
  • .ppt
  • .pptm
  • .pptx
  • .pptxml
  • .prc
  • .prf
  • .ps
  • .ps1
  • .ps1xml
  • .psc1
  • .psd
  • .psd1
  • .psm1
  • .pst
  • .pub
  • .pwz
  • .py
  • .pyc
  • .pyo
  • .pys
  • .pyw
  • .qds
  • .rat
  • .rc
  • .rc2
  • .rct
  • .RDP
  • .reg
  • .rels
  • .res
  • .rgs
  • .rle
  • .rll
  • .rmi
  • .rpc
  • .rqy
  • .rsp
  • .rtf
  • .rul
  • .rwz
  • .s
  • .sbr
  • .sc2
  • .scc
  • .scd
  • .scf
  • .sch
  • .scp
  • .scr
  • .sct
  • .sdl
  • .sed
  • .shtm
  • .shtml
  • .sit
  • .sldm
  • .sldx
  • .slk
  • .snd
  • .sol
  • .sor
  • .spc
  • .sql
  • .srf
  • .sr_
  • .sst
  • .stl
  • .stm
  • .swf
  • .sym
  • .sys
  • .sy_
  • .tab
  • .tar
  • .tdl
  • .text
  • .tgz
  • .theme
  • .thmx
  • .tif
  • .tiff
  • .tlb
  • .tlh
  • .tli
  • .trg
  • .tsp
  • .tsv
  • .ttc
  • .ttf
  • .txt
  • .udf
  • .UDL
  • .udt
  • .URL
  • .user
  • .usr
  • .uxdc
  • .vb
  • .VBE
  • .vbproj
  • .vbs
  • .vbx
  • .vcf
  • .vcg
  • .vcproj
  • .vcs
  • .vdx
  • .viw
  • .vsd
  • .vspscc
  • .vss
  • .vsscc
  • .vssscc
  • .vst
  • .vsx
  • .vtx
  • .vxd
  • .wab
  • .wav
  • .wax
  • .wbcat
  • .wbk
  • .wcx
  • .wdp
  • .webp
  • .webpnp
  • .wiz
  • .wll
  • .wlt
  • .wm
  • .wma
  • .wmf
  • .wmp
  • .wmv
  • .wmx
  • .wmz
  • .wpl
  • .wps
  • .wpt
  • .wri
  • .wsc
  • .wsdl
  • .WSF
  • .WSH
  • .wsz
  • .wtf
  • .wtx
  • .wvx
  • .x
  • .xaml
  • .xbap
  • .xdp
  • .xdr
  • .xfdf
  • .xht
  • .xhtml
  • .xix
  • .xla
  • .xlam
  • .xlb
  • .xlc
  • .xlk
  • .xll
  • .xlm
  • .xls
  • .xlsb
  • .xlsm
  • .xlsx
  • .xlt
  • .xltm
  • .xltx
  • .xlw
  • .xlxml
  • .xml
  • .xps
  • .xrm-ms
  • .xsd
  • .xsf
  • .xsl
  • .xslt
  • .xsn
  • .xst
  • .xtp
  • .z
  • .z96
  • .zip

它會使用下列名稱重新命名加密的檔案:

  • Lock.{original filename and extension}

  解決方案

最低掃瞄引擎: 9.800
第一個 VSAPI 病毒碼檔案: 12.608.05
第一個 VSAPI 病毒碼發行日期: 2016年6月23日
VSAPI OPR 病毒碼版本: 12.609.00
VSAPI OPR 病毒碼發行日期: 2016年6月24日

Step 1

對於 Windows ME 和 XP 使用者,在執行任何掃瞄之前,請確定您已關閉「系統還原」,以便能完整掃瞄您的電腦。

Step 3

刪除此登錄值

[ 學到更多 ]

重要:不當編輯「Windows 登錄」可能會導致系統故障而無法回復。請在您有把握或有系統管理員協助的情況下執行此步驟。或者,在修改電腦的登錄之前,先閱讀此 Microsoft 文章

 
  • In HKEY_CURRENT_USER\Control Panel\Desktop
    • Wallpaper = "%User Temp%\wl.jpg"

Step 4

使用您的趨勢科技產品掃瞄電腦,以刪除所偵測到如 RANSOM_MIRCOP.A 的檔案 如果偵測到的檔案已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的動作。您可以選擇刪除隔離的檔案。請參考此常見問題集頁面瞭解詳細資訊。


說說您對安全威脅百科的想法