Ransomware : plugin erreur critique 0x00874324

Aujourd’hui, rammassé par le bot un Ransomware : https://forum.malekal.com/http-blendarsen-org-file-crack-extra-dvd-pocket-ripper-exe-t32716.html
Pour rappel un Ransomware est un malware qui bloque le système (Trojan.Winlock) ou l’accès à des données en les cryptant – exemple GPCode et vous demander de verser une somme afin de débloquer l’accès à ces données.
Bien souvent, l’envoie se fait à travers un SMS on a alors affaire à un Trojan-SMS-Ransomware, quelques exemples :

https://forum.malekal.com/flash-player-exe-ransomware-t26652.html?hilit=ransomware
https://forum.malekal.com/http-mms2u-info-exe-php-6067178d6665bcfe-t26727.html#p216584
https://forum.malekal.com/sms-ransomware-trojan-winlock-t21772.html?hilit=ransomware

La détection du dropper au moment où sont écrites ces lignes : http://www.virustotal.com/file-scan/report.html?id=3dcf4d04f50e5d93958ef60028236ff453f698ec45bcc59e86477bd5fe45b8f4-1303881232

File name: Serial-G_DATA_Antivirus_2011.exe
Submission date: 2011-04-27 05:13:52 (UTC)
Current status: finished
Result: 5 /40 (12.5%)

not reviewed
Safety score: –
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3     2011.04.27.01     2011.04.27     –
AntiVir     7.11.7.7     2011.04.25     –
Antiy-AVL     2.0.3.7     2011.04.26     –
Avast     4.8.1351.0     2011.04.26     –
Avast5     5.0.677.0     2011.04.26     –
AVG     10.0.0.1190     2011.04.27     –
BitDefender     7.2     2011.04.27     Trojan.Generic.KD.204154
CAT-QuickHeal     11.00     2011.04.27     –
ClamAV     0.97.0.0     2011.04.27     –
Commtouch     5.3.2.6     2011.04.27     –
Comodo     8488     2011.04.27     TrojWare.Win32.Trojan.Agent.Gen
DrWeb     5.0.2.03300     2011.04.27     Trojan.Siggen2.27637
eSafe     7.0.17.0     2011.04.26     –
eTrust-Vet     36.1.8293     2011.04.26     –
F-Prot     4.6.2.117     2011.04.26     –
Fortinet     4.2.257.0     2011.04.27     –
GData     22     2011.04.27     Trojan.Generic.KD.204154
Ikarus     T3.1.1.103.0     2011.04.27     –
Jiangmin     13.0.900     2011.04.26     –
K7AntiVirus     9.98.4485     2011.04.26     –
Kaspersky     9.0.0.837     2011.04.27     –
McAfee     5.400.0.1158     2011.04.27     –
McAfee-GW-Edition     2010.1D     2011.04.26     –
Microsoft     1.6802     2011.04.26     –
NOD32     6073     2011.04.27     –
Norman     6.07.07     2011.04.26     –
Panda     10.0.3.5     2011.04.26     –
PCTools     7.0.3.5     2011.04.27     –
Prevx     3.0     2011.04.27     Medium Risk Malware
Rising     23.55.01.05     2011.04.26     –
Sophos     4.64.0     2011.04.27     –
SUPERAntiSpyware     4.40.0.1006     2011.04.27     –
Symantec     20101.3.2.89     2011.04.27     –
TheHacker     6.7.0.1.183     2011.04.26     –
TrendMicro     9.200.0.1012     2011.04.27     –
TrendMicro-HouseCall     9.200.0.1012     2011.04.27     –
VBA32     3.12.16.0     2011.04.26     –
VIPRE     9132     2011.04.27     –
ViRobot     2011.4.27.4432     2011.04.27     –
VirusBuster     13.6.322.0     2011.04.26     –
Additional information
MD5   : a35d9ce265063aec1151efba099415bd
SHA1  : 6308a5baa45ed51c804175c908bbc995cd503ad7
SHA256: 3dcf4d04f50e5d93958ef60028236ff453f698ec45bcc59e86477bd5fe45b8f4

Ce dernier remplace la clef Userinit afin de charger le malware au démarrage.
Cela signifie que le malware sera actif en mode sans échec.

Process:
Path: C:\Documents and Settings\Mak\Bureau\files\a35d9ce265063aec1151efba099415bd.exe
PID: 2232
Information: Dvrpbqir Xqasnw Xusvurvqn (Dvrpbqir Software)
Registry Group: Winlogon
Object:
Registry key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Registry value: Userinit
New value:
Type: REG_SZ
Value: C:\Documents and Settings\Mak\Application Data\svchost.exe
Previous value:
Type: REG_SZ
Value: C:\WINDOWS\system32\userinit.exe,

puis fait redémarre la machine

Parent process:
Path: C:\Documents and Settings\Mak\Bureau\files\a35d9ce265063aec1151efba099415bd.exe
PID: 2232
Information: Dvrpbqir Xqasnw Xusvurvqn (Dvrpbqir Software)
Child process:
Path: C:\Documents and Settings\Mak\Application Data\svchost.exe
Information: Dvrpbqir Xqasnw Xusvurvqn (Dvrpbqir Software)
Command line: »C:\Documents and Settings\Mak\Application Data\svchost.exe » -reboot

et enfin lance un fichier batch

Parent process:
Path: C:\Documents and Settings\Mak\Bureau\files\a35d9ce265063aec1151efba099415bd.exe
PID: 2232
Information: Dvrpbqir Xqasnw Xusvurvqn (Dvrpbqir Software)
Child process:
Path: C:\WINDOWS\system32\cmd.exe
Information: Interpréteur de commandes Windows (Microsoft Corporation)
Command line:cmd /c « C:\Documents and Settings\Mak\Application Data\delself.bat »

qui a pour but de supprimer le dropper…
@echo off
:try
del « C:\Documents and Settings\Mak\Bureau\files\a35d9ce265063aec1151efba099415bd.exe »
if exist « C:\Documents and Settings\Mak\Bureau\files\a35d9ce265063aec1151efba099415bd.exe » goto try
del « C:\Documents and Settings\Mak\Application Data\delself.bat »

Au redémarrage on obtient ce message bloquant le démarrage de Windows : Système de plugin à l’adresse 0x00874324 a reçu l’erreur critique, s’il vous plaît suivez ces étapes pour le désactiver.
La personne doit composer un numéro de téléphone surtaxé où une clef de déblocage lui sera communiqué.

A noter que le message est en français ce qui est assez rare, vu les fautes, on imagine qu’un traducteur a été utilisé et que la langue est définie selon l’OS.

Ransomware : plugin erreur critique 0x00874324Les solutions

Deux solutions possibles.

Première solution :

  • Démarrer sur la console de récupération
  • puis copier le fichier C:\Windows\system32\userinit.exe vers C:\Documents and Settings\Mak\Application Data\svchost.exe :
    • via la commande : copy C:\Windows\system32\userinit.exe vers C:\Documents and Settings\Mak\Application Data\svchost.exe
  • Ainsi lors du prochain démarrage de Windows, ce sera le fichier userinit qui sera chargé et non le malware.
  • Faites ensuite une restauration du système pour remettre la clef Userinit correcte.

Seconde solution :

Print Friendly, PDF & Email
(Visité 97 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet