Troj/Skowr

TROJ/SKOWRD destructivo troyano encripta archivos deshabilita antivirus barra de tareas formatea el disco, etc.

© Jorge Machado Lima-Perú

Troj/Skowrd

Troj/Skowrd es un destructivo troyano residente en memoria, reportado el 12 de Junio del 2006 de propagación a través de cualquiera de los servicios de Internet, creado y propagado por un hacker alemán de 18 años, autodenominado sk0r alias Czybik.

Termina los procesos de antivirus, firewalls y otros, asociados a determinadas cadenas. Modifica la página de Inicio del Internet Explorer hacia el portal del autor.

Su acción destructiva consiste en encriptar archivos con determinadas extensiones, los mismos que quedarán inutilizados.

Intenta también formatear el disco duro, cambiar al Administrador del sistema y finalmente modifica el archivo HOSTS para impedir el acceso a sitios web relacionados a seguridad.

Es un PE (Portable Ejecutable) e infecta Windows 98/Me/NT/2000/XP y Server 2003 está desarrollado en Visual C++, con una extensión de 68KB y comprimido con un utilitario desconocido, posiblemente de autoría del propio hacker.

Al ingresar a un sistema se autocopia a las rutas:

%System%\HelpWin\svchost.exe
%System%\SkorCzybik.dll

Para ejecutarse la próxima vez que se re-inicie el sistema modifica la llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Winlogon]
"Shell" = "%System%\HelpWin\svchost.exe"

el valor por defecto de la misma es Explorer.exe.

Al siguiente inicio del equipo, el troyano termina los procesos de cualquiera de los siguientes software de seguridad que estuviesen en ejecución:

termina además los procesos que tengan cualquiera de las cadenas:

av
clean
guar
mgr
resc
save
svr
syma

borra los siguientes valores:

AVG7_CC
avgnt
BDMCon
BDNewsAgent
BDOESRV
DrWebScheduler
KAVPersonal50
MCAgentExe
MCUpdateExe
OASClnt
pccguide.exe
SpIDerMail
SpIDerNT
VirusScan Online
VSOCheckTask

de la llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

para deshabilitar la Barra de Tareas modifica la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"

el valor por defecto de esta llave es "0"

luego modifica la página de Inicio del Internet Explorer a esta dirección:

http://www.sk0r-czybik.de.vu

la cual pertenece a un hacker alemán de 18 años, autodenominado sk0r alias Czybik, quien distribuye gratuitamente encriptadores de archivos generadores de gusano, troyanos, visual basic scripts, crackeadores, etc. Su portal se enlaza a otros dos de su propiedad en los cules distribuye códigos fuente de gusanos, varios de los cuales han dido desarrollados por el mismo:

http://www.sk0r-virii.tk
http://www.czybik-kit.tk

(vulnerando uno de sus sitios web hemos conseguido información de este joven hacker y remitido al FBI):

http://www.ic3.gov/complaint/

encripta los archivos de todas las unidades de disco que tenga cualquiera de las siguientes extensiones:

asm
asp
aspx
bat
c
cfg
cgi
cmd
cpp
cs
css
h
hta
htm
html
inf
ini
js
jscript
log
php
sql
txt
vbs
wsf
xml

y como consecuencia, estos archivos quedarán inutilizados.

Durante la revisión de las unidades de disco, el troyano intenta formatear todos los discos que estuviesen instalados, emitiendo una "función de retorno" desconocida y tratando de cambiar al Administrador del sistema por los apodos del hacker: SkorCzybi o CzybikSkor.

Al modificar el archivo HOSTS impide el acceso a los siguientes sitios web relacionados a seguridad:

# Win32.Skowor Ransomware Host H4x0r
127.0.0.1 www.antivir.de
127.0.0.1 www.bitdefender.de
127.0.0.1 www.znet.de
127.0.0.1 www.chip.de
127.0.0.1 www.virustotal.com
127.0.0.1 virusscan.jotti.org
127.0.0.1 www.kaspersky.com
127.0.0.1 www.sophos.de
127.0.0.1 www.trojaner-info.de
127.0.0.1 www.trojaner-help.de
127.0.0.1 www.arcabit.com
127.0.0.1 www.avast.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.bitdefender.com
127.0.0.1 www.clamav.net
127.0.0.1 www.drweb.com
127.0.0.1 www.f-prot.com
127.0.0.1 www.google.de
127.0.0.1 www.fortinet.com
127.0.0.1 www.nod32.com
127.0.0.1 www.norman.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.anti-virus.by/en
127.0.0.1 www.symantec.com
127.0.0.1 www.windowsupdate.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.viruslist.com
127.0.0.1 www.avp.com
127.0.0.1 www.zonelabs.com
127.0.0.1 www.heise.de
127.0.0.1 www.antivirus-online.de
127.0.0.1 www.free-av.com
127.0.0.1 www.panda-software.com
127.0.0.1 www.pc-welt.de
127.0.0.1 www.pc-special.net
127.0.0.1 download.freenet.de
127.0.0.1 www.vollversion.de
127.0.0.1 www.das-download-archiv.de
127.0.0.1 www.freeware.de
127.0.0.1 www.antiviruslab.com
127.0.0.1 www.search.yahoo.com
127.0.0.1 www.web.de
127.0.0.1 www.hotmail.com
127.0.0.1 www.hotmail.de
127.0.0.1 www.gmx.net
127.0.0.1 www.spiegel.de
127.0.0.1 www.icq.com
127.0.0.1 www.icq.de
127.0.0.1 www.flirtlife.de
127.0.0.1 www.ffh.de
127.0.0.1 www.lavasoft.de
127.0.0.1 www.de.wikipedia.org
127.0.0.1 www.wikipedia.org
127.0.0.1 www.en.wikipedia.org
127.0.0.1 www.wissen.de
127.0.0.1 www.virus-aktuell.de
127.0.0.1 www.arcor.de
127.0.0.1 www.t-online.de
127.0.0.1 www.t-com.de
127.0.0.1 www.alice-dsl.de
127.0.0.1 www.freenet.de
127.0.0.1 www.1und1.de
127.0.0.1 www.fbi.gov
127.0.0.1 www.polizei.de

Luego lubera en la carpeta %System% el archivo WARNING_README_NOW.TXT con el siguiente contenido:

WARNING: FILE ENCRYPTION HAS BEEN FINISHED!
############################################

Dear User,
----------
Some Ascii Files have been encrypted with the sk0r alias Czybik's Ascii File Encryption Engine v1.0.
You are not longer able to use those files. But now nothing is lost. You are able to use your files again if you decrypt them. To do this you need to buy a decoder and the
password.
==========
So how can you buy this? The following stepps will show you what to do:

Decryption Notes:
=================
1) Simply write an email to: sk0r1337@gmx.de with subject: Need Decoder and Password
2) Wait for an email from me.
3) Read the email and follow the stepps (you must give a payment to me to get the decoder and the password
4) Open the decoder.exe
5) Input File and Password and click decrypt --> Do this for all encrypted files
Pricelist:
Decoder: Game Accounts in worth of about maximum 80
Password: Game or Internet Accounts (Websites) in worth of maximum 20

You see you can be lucky that the Decoder and the Password are so cheap.
Be lucky you are not a victim of other Ransomware, they are very expensive (400$)
So please follow the stepps. Otherwise you will not be able to use your files again.
Don 't send to avers. They will not be able to get or crack the password. So pay or say 'bye' to all your encrypted files.

Regards: sk0r / Czybik - Malwarewriter
2006 by sk0r / Czybik
Win32.Skowor Ransomware 2006 by sk0r / Czybik sk0r alias Czybik's
Ascii File Encryption Engine v1.0 2006 by sk0r / Czybik

PER ANTIVIRUS® versión 9.7 con registro de virus al 12 de Junio del 2006 detecta y elimina este troyano.