Ransomware : plugin erreur critique 0x00874324

Aujourd’hui, rammassé par le bot un Ransomware : https://forum.malekal.com/http-blendarsen-org-file-crack-extra-dvd-pocket-ripper-exe-t32716.html
Pour rappel un Ransomware est un malware qui bloque le système (Trojan.Winlock) ou l’accès à des données en les cryptant – exemple GPCode et vous demander de verser une somme afin de débloquer l’accès à ces données.
Bien souvent, l’envoie se fait à travers un SMS on a alors affaire à un Trojan-SMS-Ransomware, quelques exemples :

https://forum.malekal.com/flash-player-exe-ransomware-t26652.html?hilit=ransomware
https://forum.malekal.com/http-mms2u-info-exe-php-6067178d6665bcfe-t26727.html#p216584
https://forum.malekal.com/sms-ransomware-trojan-winlock-t21772.html?hilit=ransomware

La détection du dropper au moment où sont écrites ces lignes : http://www.virustotal.com/file-scan/report.html?id=3dcf4d04f50e5d93958ef60028236ff453f698ec45bcc59e86477bd5fe45b8f4-1303881232

File name: Serial-G_DATA_Antivirus_2011.exe
Submission date: 2011-04-27 05:13:52 (UTC)
Current status: finished
Result: 5 /40 (12.5%)

not reviewed
Safety score: –
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3     2011.04.27.01     2011.04.27     –
AntiVir     7.11.7.7     2011.04.25     –
Antiy-AVL     2.0.3.7     2011.04.26     –
Avast     4.8.1351.0     2011.04.26     –
Avast5     5.0.677.0     2011.04.26     –
AVG     10.0.0.1190     2011.04.27     –
BitDefender     7.2     2011.04.27     Trojan.Generic.KD.204154
CAT-QuickHeal     11.00     2011.04.27     –
ClamAV     0.97.0.0     2011.04.27     –
Commtouch     5.3.2.6     2011.04.27     –
Comodo     8488     2011.04.27     TrojWare.Win32.Trojan.Agent.Gen
DrWeb     5.0.2.03300     2011.04.27     Trojan.Siggen2.27637
eSafe     7.0.17.0     2011.04.26     –
eTrust-Vet     36.1.8293     2011.04.26     –
F-Prot     4.6.2.117     2011.04.26     –
Fortinet     4.2.257.0     2011.04.27     –
GData     22     2011.04.27     Trojan.Generic.KD.204154
Ikarus     T3.1.1.103.0     2011.04.27     –
Jiangmin     13.0.900     2011.04.26     –
K7AntiVirus     9.98.4485     2011.04.26     –
Kaspersky     9.0.0.837     2011.04.27     –
McAfee     5.400.0.1158     2011.04.27     –
McAfee-GW-Edition     2010.1D     2011.04.26     –
Microsoft     1.6802     2011.04.26     –
NOD32     6073     2011.04.27     –
Norman     6.07.07     2011.04.26     –
Panda     10.0.3.5     2011.04.26     –
PCTools     7.0.3.5     2011.04.27     –
Prevx     3.0     2011.04.27     Medium Risk Malware
Rising     23.55.01.05     2011.04.26     –
Sophos     4.64.0     2011.04.27     –
SUPERAntiSpyware     4.40.0.1006     2011.04.27     –
Symantec     20101.3.2.89     2011.04.27     –
TheHacker     6.7.0.1.183     2011.04.26     –
TrendMicro     9.200.0.1012     2011.04.27     –
TrendMicro-HouseCall     9.200.0.1012     2011.04.27     –
VBA32     3.12.16.0     2011.04.26     –
VIPRE     9132     2011.04.27     –
ViRobot     2011.4.27.4432     2011.04.27     –
VirusBuster     13.6.322.0     2011.04.26     –
Additional information
MD5   : a35d9ce265063aec1151efba099415bd
SHA1  : 6308a5baa45ed51c804175c908bbc995cd503ad7
SHA256: 3dcf4d04f50e5d93958ef60028236ff453f698ec45bcc59e86477bd5fe45b8f4

Ce dernier remplace la clef Userinit afin de charger le malware au démarrage.
Cela signifie que le malware sera actif en mode sans échec.

Process:
Path: C:\Documents and Settings\Mak\Bureau\files\a35d9ce265063aec1151efba099415bd.exe
PID: 2232
Information: Dvrpbqir Xqasnw Xusvurvqn (Dvrpbqir Software)
Registry Group: Winlogon
Object:
Registry key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Registry value: Userinit
New value:
Type: REG_SZ
Value: C:\Documents and Settings\Mak\Application Data\svchost.exe
Previous value:
Type: REG_SZ
Value: C:\WINDOWS\system32\userinit.exe,

puis fait redémarre la machine

Parent process:
Path: C:\Documents and Settings\Mak\Bureau\files\a35d9ce265063aec1151efba099415bd.exe
PID: 2232
Information: Dvrpbqir Xqasnw Xusvurvqn (Dvrpbqir Software)
Child process:
Path: C:\Documents and Settings\Mak\Application Data\svchost.exe
Information: Dvrpbqir Xqasnw Xusvurvqn (Dvrpbqir Software)
Command line: »C:\Documents and Settings\Mak\Application Data\svchost.exe » -reboot

et enfin lance un fichier batch

Parent process:
Path: C:\Documents and Settings\Mak\Bureau\files\a35d9ce265063aec1151efba099415bd.exe
PID: 2232
Information: Dvrpbqir Xqasnw Xusvurvqn (Dvrpbqir Software)
Child process:
Path: C:\WINDOWS\system32\cmd.exe
Information: Interpréteur de commandes Windows (Microsoft Corporation)
Command line:cmd /c « C:\Documents and Settings\Mak\Application Data\delself.bat »

qui a pour but de supprimer le dropper…
@echo off
:try
del « C:\Documents and Settings\Mak\Bureau\files\a35d9ce265063aec1151efba099415bd.exe »
if exist « C:\Documents and Settings\Mak\Bureau\files\a35d9ce265063aec1151efba099415bd.exe » goto try
del « C:\Documents and Settings\Mak\Application Data\delself.bat »

Au redémarrage on obtient ce message bloquant le démarrage de Windows : Système de plugin à l’adresse 0x00874324 a reçu l’erreur critique, s’il vous plaît suivez ces étapes pour le désactiver.
La personne doit composer un numéro de téléphone surtaxé où une clef de déblocage lui sera communiqué.

A noter que le message est en français ce qui est assez rare, vu les fautes, on imagine qu’un traducteur a été utilisé et que la langue est définie selon l’OS.

Ransomware : plugin erreur critique 0x00874324
Les solutions

Deux solutions possibles.

Première solution :

  • Démarrer sur la console de récupération
  • puis copier le fichier C:\Windows\system32\userinit.exe vers C:\Documents and Settings\Mak\Application Data\svchost.exe :
    • via la commande : copy C:\Windows\system32\userinit.exe vers C:\Documents and Settings\Mak\Application Data\svchost.exe
  • Ainsi lors du prochain démarrage de Windows, ce sera le fichier userinit qui sera chargé et non le malware.
  • Faites ensuite une restauration du système pour remettre la clef Userinit correcte.

Seconde solution :

image_pdf
image_print
(Visité 77 fois, 1 visites ce jour)

18 Comments

  1. pij 28 avril 2011
  2. malekalmorte 30 avril 2011
  3. mouchak 3 mai 2011
  4. tarek 3 mai 2011
  5. tarek 3 mai 2011
  6. mouchak 4 mai 2011
  7. malekalmorte 4 mai 2011
  8. mouchak 4 mai 2011
  9. malekalmorte 4 mai 2011
  10. SNZ47 6 mai 2011
  11. jurin 12 mai 2011
  12. zozozac 23 mai 2011
  13. Koni Dee 10 juin 2011
  14. Medjoar 10 juin 2011
  15. Mimi 11 juin 2011
  16. emmanuelle 12 juin 2011
  17. malekalmorte 15 juin 2011
  18. Abira 16 juin 2011

Add Comment