NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Troyano que cifra ficheros del usuario, con intento de extorsión


Nombre de virus: PGPCoder
Alias conocidos: GPcoder,TROJ_PGPCODER.A, Trojan.Pgpcoder,Virus.Win32.Gpcode.b
Riesgo Infección: Bajo (Bajo, Medio, Alto, Muy Alto)
Propagación: Por descarga de fichero via IRC, redes P2P, email, etc..
Activación: Por ejecución manual de fichero
Detección: desde DATS 4496 (control actualizado con DATS 4499)
Motor necesario: desde 4.4.00
Infección actual: Inicial (Inicial, Media, Elevada)

Este troyano cifra documentos en función de la extensión del fichero, y entonces intenta extorsionar a la víctima solicitándole dinero para obtener una herramienta de descifrado que permita recuperar los documentos.

Al ejecutarlo, el troyano busca ficheros que tengan las siguientes extensiones:

  • pgp
  • asc
  • db2
  • db1
  • db
  • jpg
  • html
  • htm
  • dbf
  • rar
  • zip
  • rtf
  • txt
  • doc
  • xls

 

Los documentos que encuentra los cifra, y genera un fichero de texto ATTENTION!!!.txt en el directorio, que contiene el siguiente texto:

Some files are coded.
To buy decoder mail: n {removed} @yahoo.com
with subject: PGPcoder 000000000032

 

También genera la siguiente clave de registro:

  • HKEY_CURRENT_USER\Software\Microsoft\Sysinf "cur_not_done"

 

Durante el test, el troyano también ha generado una clave de registro sin sentido:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Run "services" = C:\Documents

 

La intención del troyano era configurarse para su ejecución al inicio del sistema, sin embargo el programa contiene un bug, de manera que maneja incorrectamente los directorios que contienen espacios.

 

Síntomas

- Ficheros que han sido sobreescritos con contenido ilegible (datos cifrados).
- Presencia de los ficheros ATTENTION!!!.txt antes mencionados.

Método de infección

Los troyanos no se autoreplican. Se propagan manualmente, a menudo bajo la premisa que el ejecutable tiene alguna utilidad beneficiosa. Sus canales de distribución incluyen IRC, redes peer-to-peer, newsgroup postings, email, etc


Detección y eliminación

El gusano se controla y elimina desde los DAT 4496 .

SATINFO, VIRUSCAN SPAIN SERVICE 26 de Mayo de 2005

Anterior