trojan/skowr.a

Imagen biografía
Categoría: Troyanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de trojan/skowr.a

virus.win32.vb.ap, trojan.skowr, trojan.skor, win32.skowr.a, troj_skowr.a
tipo: troyano
tama?o: variable
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.9, registro de virus al 11/06/2006.
trojan/skowr.a , es un troyano residente en memoria, descarga y ejecuta otros archivos desde sitios web predeterminados y deshabilita el administrador de tareas, sobrescribe el archivo hosts, encripta archivos y finaliza procesos.
cuando el troyano se ejecuta se copia a si mismo con todos sus componentes dentro de:
windows \skorczbik.dll system \helpwin\svchost.exe userprofile \desktop\warning_readme_now.txt userprofile \my documents\warning_readme_now.txt tambi?n crea el siguiente enlace a una determinada direcci?n url [ http://www.sk0r-czybik.de.vu] dentro de la carpeta favoritos
userprofile \favorites\sk0r-czybik.url
nota:
- windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt )
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
- el archivo .txt contiene el siguiente texto
warning: file encryption has been finished!
############################################
dear user,
----------
some ascii files have been encrypted with the sk0r alias czybiks ascii file encryption engine v1.0.
you are not longer able to use those files. but now nothing is lost. you are able to use
your files again if you decrypt them. to do this you need to buy a decoder and the password.
so how can you buy this? the following stepps will show you what to do:
decryption notes:
=================
1) simply write an email to: sk0r1337@gmx.de with subject: need decoder and password
2) wait for an email from me.
3) read the email and follow the stepps (you must give a payment to me to get the decoder and the password
4) open the decoder.exe
5) input file and password and click decrypt --> do this for all encrypted files
pricelist:
==========
decoder: game accounts in worth of about maximum 80 ?..
password: game or internet accounts (websites) in worth of maximum 20 ?
you see you can be lucky that the decoder and the password are so cheap.
be lucky you are not a victim of other ransomware, they are very expensive (400$)
so please follow the stepps. otherwise you will not be able to use your files again.
don t send to avers. they will not be able to get or crack the password. so pay or say bye
to all your encrypted files.
regards: sk0r / czybik - malwarewriter
win32.skowor ransomware ?2006 by sk0r / czybik
sk0r alias czybiks ascii file encryption engine v1.0 ?2006 by sk0r / czybik
---------------------------------------------
adem?s crea la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon
shell=explorer.exe system \helpwin\svchost.exe
tambi?n modifica la siguiente entrada en el registro para poder deshabilitar el administrador de tareas
hkey_current_user\software\microsoft\windows\currentversion\policies\system
disabletaskmgr=1
busca los siguientes valores en el registro y si existen intentara eliminarlos
hkey_local_machine\software\microsoft\windows\currentversion\run\avgnt hkey_local_machine\software\microsoft\windows\currentversion\run\pccguide.exe hkey_local_machine\software\microsoft\windows\currentversion\run\avg7_cc hkey_local_machine\software\microsoft\windows\currentversion\run\bdmcon hkey_local_machine\software\microsoft\windows\currentversion\run\bdnewsagent hkey_local_machine\software\microsoft\windows\currentversion\run\bdoesrv hkey_local_machine\software\microsoft\windows\currentversion\run\drwebscheduler hkey_local_machine\software\microsoft\windows\currentversion\run\kavpersonal50 hkey_local_machine\software\microsoft\windows\currentversion\run\mcagentexe hkey_local_machine\software\microsoft\windows\currentversion\run\mcupdateexe hkey_local_machine\software\microsoft\windows\currentversion\run\oasclnt hkey_local_machine\software\microsoft\windows\currentversion\run\spidermail hkey_local_machine\software\microsoft\windows\currentversion\run\spidernt hkey_local_machine\software\microsoft\windows\currentversion\run\vsochecktask hkey_local_machine\software\microsoft\windows\currentversion\run\virusscan online tambi?n finaliza los siguientes procesos, algunos relacionados a programas de seguridad como antivirus y firewalls
avscan.exe avcenter.exe agentsvr.exe avcmd.exe avesvc.exe avgamsvr.exe avgcc.exe avgnt.exe avgupsvc.exe bdlite.exe bdmcon.exe bdnagent.exe bdoesrv.exe bdss.exe bdsubmit.exe bdswitch.exe drwadins.exe drweb32w.exe drwebscd.exe drwebupw.exe kav.exe kavsend.exe kavsvc.exe keymanager.exe mcappins.exe mcdetect.exe mcshield.exe mctskshd.exe mcupdui.exe mcvsescn.exe mcvsshld.exe mghtml.exe oasclnt.exe pccguide.exe pccprm.exe pcctlcom.exe preupd.exe qttask.exe rtvr.exe spidernt.exe terminate tmproxy.exe update.exe vsserv.exe xcommsvr.exe luego finalizar? procesos que en su nombre tengan los siguientes textos
clean save av svr mgr syma resc guar seguidamente intentar? encriptar todos los archivos que encuentre en el computador atacado con las siguientes extensiones, .cfg, .txt, .log, .htm, .html, .xml, .php, .cpp, .asm, .cs, .c, .h, .bat, .cmd, .css, .asp, .aspx, .vbs, .wsf, .hta, .js, .jscript, .ini, .inf, .sql, .cgi.
tambi?n intentar? cambiar la contrase?a del usuario administrador por skorczybik y del usuario actual por czybikskor
finalmente modifica el archivo hosts que se encuentra en system \drivers\etc\, agregandole las siguientes direcciones url, de esta manera bloquea el acceso a dichos sitios.
# win32.skowor ransomware host h4x0r
127.0.0.1 www.antivir.de 127.0.0.1 www.bitdefender.de 127.0.0.1 www.znet.de 127.0.0.1 www.chip.de 127.0.0.1 www.virustotal.com 127.0.0.1 virusscan.jotti.org 127.0.0.1 www.kaspersky.com 127.0.0.1 www.sophos.de 127.0.0.1 www.trojaner-info.de 127.0.0.1 www.trojaner-help.de 127.0.0.1 www.arcabit.com 127.0.0.1 www.avast.com 127.0.0.1 www.grisoft.com 127.0.0.1 www.bitdefender.com 127.0.0.1 www.clamav.net 127.0.0.1 www.drweb.com 127.0.0.1 www.f-prot.com 127.0.0.1 www.google.de 127.0.0.1 www.fortinet.com 127.0.0.1 www.nod32.com 127.0.0.1 www.norman.com 127.0.0.1 www.microsoft.com 127.0.0.1 www.anti-virus.by/en 127.0.0.1 www.symantec.com 127.0.0.1 www.windowsupdate.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.mcafee.com 127.0.0.1 www.viruslist.com 127.0.0.1 www.avp.com 127.0.0.1 www.zonelabs.com 127.0.0.1 www.heise.de 127.0.0.1 www.antivirus-online.de 127.0.0.1 www.free-av.com 127.0.0.1 www.panda-software.com 127.0.0.1 www.pc-welt.de 127.0.0.1 www.pc-special.net 127.0.0.1 download.freenet.de 127.0.0.1 www.vollversion.de 127.0.0.1 www.das-download-archiv.de 127.0.0.1 www.freeware.de 127.0.0.1 www.antiviruslab.com 127.0.0.1 www.search.yahoo.com 127.0.0.1 www.web.de 127.0.0.1 www.hotmail.com 127.0.0.1 www.hotmail.de 127.0.0.1 www.gmx.net 127.0.0.1 www.spiegel.de 127.0.0.1 www.icq.com 127.0.0.1 www.icq.de 127.0.0.1 www.flirtlife.de 127.0.0.1 www.ffh.de 127.0.0.1 www.lavasoft.de 127.0.0.1 www.de.wikipedia.org 127.0.0.1 www.wikipedia.org 127.0.0.1 www.en.wikipedia.org 127.0.0.1 www.wissen.de 127.0.0.1 www.virus-aktuell.de 127.0.0.1 www.arcor.de 127.0.0.1 www.t-online.de 127.0.0.1 www.t-com.de 127.0.0.1 www.alice-dsl.de 127.0.0.1 www.freenet.de 127.0.0.1 www.1und1.de 127.0.0.1 www.fbi.gov 127.0.0.1 www.polizei.de


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo