TROJ_SCARECROW.A
Windows 2000, XP, Server 2003
Tipo di minaccia informatica:
Trojan
Distruttivo?:
No
Crittografato?:
In the wild::
厂ì
Dettagli tecnici
滨苍蝉迟补濒补肠颈ó苍
Agrega las carpetas siguientes:
- %Windows%\PCHEALTH\AutoClean
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)Agrega los procesos siguientes:
- explorer.exe
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
AutoProtect = %Windows%\pchealth\AutoClean\AutoProtect.vbs
Rutina de infiltración
Infiltra los archivos siguientes:
- %Windows%\pchealth\AutoClean\AutoProtect.vbs - also detected as TROJ_SCARECROW.A
- %Windows%\pchealth\AutoClean\autorun.inf - also detected as TROJ_SCARECROW.A
- %Windows%\pchealth\AutoClean\call.bat - also detected as TROJ_SCARECROW.A
- %Windows%\pchealth\AutoClean\ComboKill.bat - also detected as TROJ_SCARECROW.A
- %Windows%\pchealth\AutoClean\invis.vbs - also detected as TROJ_SCARECROW.A
- %Windows%\pchealth\AutoClean\Replicate.vbs - also detected as TROJ_SCARECROW.A
- %Windows%\pchealth\AutoClean\shh.bat - also detected as TROJ_SCARECROW.A
- %Windows%\pchealth\AutoClean\Patch\PatchIt.bat - also detected as TROJ_SCARECROW.A
- %Windows%\pchealth\AutoClean\Patch\update003.bat - also detected as TROJ_SCARECROW.A
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)Este malware define los atributos del/de los archivo(s) infiltrado(s) de la siguiente manera:
- Read-Only, Hidden, and System
Otros detalles
Según el análisis de los códigos, tiene las siguientes capacidades:
- Drops the following files in the root directory of the drive where it was executed:
autorun.inf - also detected as TROJ_SCARECROW.A
ComboKill.bat - also detected as TROJ_SCARECROW.A
AutoClean\AutoProtect.vbs - also detected as TROJ_SCARECROW.A
AutoClean\ComboKill.bat - also detected as TROJ_SCARECROW.A
AutoClean\Replicate.vbs - also detected as TROJ_SCARECROW.A
AutoClean\shh.bat - also detected as TROJ_SCARECROW.A
It checks if the following files exist, most of which are related to other malware:
- %Windows%\System\lsas.exe
- %User Profile%\lsass.exe
- %Windows%\Tasks\Scvhost.exe
- {drive letter}\RECYCLER {drive letter}\New.exe
- {drive letter}\start.exe
If it finds matches, it terminates the process, remove the attributes, Read-only, Hidden, and System of the file, then deletes the associated files and registries. Below is the list of files:
- %Windows%\System\lsas.exe
- C:\Documents and Settings\Administrator\lsass.exe
- %User Profile%\lsass.exe %Windows%\Tasks\Scvhost.exe
- C:\New.exe %Windows%\Tasks\Scvhost.exe %Windows%\System\bs.pif
- {drive letter}\RECYCLER {drive letter}\autorun.inf
- {drive letter}\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\Desktop.ini
- {drive letter}\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\Autorunme.exe
- {drive letter}\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213
- {drive letter}\RECYCLER {drive letter}\New.exe {drive letter}\start.exe
Below is the list of registry entries:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Logistics=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
LSA Shellu=HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Load=HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar
BackBitmapIE5=HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar
BackBitmapShell=
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)
Soluzioni
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 2
Reiniciar en modo seguro
Step 3
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- AutoProtect=%Windows%\pchealth\AutoClean\AutoProtect.vbs
- AutoProtect=%Windows%\pchealth\AutoClean\AutoProtect.vbs
Step 4
Buscar y eliminar esta carpeta
Step 5
Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como TROJ_SCARECROW.A En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener más información.
Sondaggio