TROJ_RANSOM.HUN

2014年2月2日

分析者: Mark Joseph Manahan

Troj/KillProc-N (Sophos) ,Trojan:Win32/Twirlwind (Microsoft) ,Win32/LockScreen.BFK trojan (Eset) ,Trojan.Ransomcrypt (Symantec) ,Trojan.Win32.Generic!BT (Sunbelt)

平台:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

总体风险等级:

潜在破坏:

潜在分布:

感染次数:

信息暴露:

恶意软件类型:
Trojan
有破坏性？:
没有
加密？:
是的
In the Wild:
是的

概要

感染途徑: 从互联网上下载

如需此「間諜程式」的快速全面一覽，請參閱下面的「安全威脅圖表」。

技术详细信息

文件大小: 582,144 bytes

报告日期: EXE

内存驻留: 是的

初始樣本接收日期: 2014年2月20日

Payload: 终止进程, 显示图形/图片

安装

它植入下列文件：

%System Root%\w.bmp

(注意： %System Root% 是根文件夹，通常位于 C:\。它也是操作系统所在的位置。)

它植入下列文件/组件：

%Windows%\system\cl32.dll

(注意: %Windows% 是 Windows 文件夹，通常位于 C:\WINDOWS 或 C:\WINNT。)

它在受感染的系统中植入下列自身副本：

%Windows%\system\csrss.exe

(注意: %Windows% 是 Windows 文件夹，通常位于 C:\WINDOWS 或 C:\WINNT。)

它添加下列进程：

iexplore.exe
Launch http://szelvesz.2u.se/hun

自启动技术

它添加下列注册表项，在系统每次启动时自行执行：

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
MS = "{Malware Path}\{Malware Filename}.exe}"

其他系统修改

它添加下列注册表键值:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
cmd.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
command.com

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
dllhost.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
mbam.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
msconfig.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
regedit.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
rstrui.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
taskmgr.exe

进程终止

它终止在受感染的系统内存中运行的下列进程：

taskmgr.exe
msconfig.exe
rundll32.exe
cmd.exe
mbam.exe
rstrui.exe

其他详细信息

它使用下列扩展名加密文件：

*.jpeg
*.jpg
*.doc
*.png
*.gif
*.mp3
*.mp4
*.wav
*.docx
*.rtf
*.txt
*.pps
*.ppt
*.pptx
*.m4a
*.mid
*.wmv
*.wma
*.mpg
*.mov
*.avi
*.3gp
*.psd
*.xls
*.xlxs
*.html
*.php
*.zip
*.rar
*.bak

它要求下列现有的文件正常运行：

{Malware Path}\CL32.dll

解决方案

最小扫描引擎: 9.700

First VSAPI Pattern File: 10.618.05

VSAPI 第一样式发布日期: 2014年2月20日

VSAPI OPR样式版本: 10.619.00

VSAPI OPR样式发布日期: 2014年2月20日

Step 1

对于Windows ME和XP用户，在扫描前，请确认已禁用系统还原功能，才可全面扫描计算机。

Step 2

重启进入安全模式

[ 更多 ]

Step 3

删除该注册表键值

[ 更多 ]

注意事项：错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者，请先阅读Microsoft文章，然后再修改计算机注册表。

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- cmd.exe
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- command.com
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- dllhost.exe
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- mbam.exe
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- msconfig.exe
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- regedit.exe
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- rstrui.exe
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- taskmgr.exe

Step 4

删除该注册表值

[ 更多 ]

In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- MS = "{Malware Path}\{Malware Filename}.exe}"

Step 5

搜索和删除该文件

[ 更多 ]

有些组件文件可能是隐藏的。请确认在高级选项中已选中搜索隐藏文件和文件夹复选框，使查找结果包括所有隐藏文件和文件夹。

%System Root%\w.bmp

Step 6

重启进入正常模式，使用亚信安全产品扫描计算机，检测TROJ_RANSOM.HUN文件如果检测到的文件已被亚信安全产品清除、删除或隔离，则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。