Troj_Pgpcoder-A
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 56832 Octet(s)
Détails techniques:
Quand Pgpcoder-A est exécuté, il crée un mutex nommé "encoder_v1.0" pour empêcher l'exécution simultanée de plusieurs versions du cheval de Troie sur la machine infectée.
Afin de se lancer à chaque démarrage, il ajoute l'entrée de registre suivante :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"services" = "{chemin\nom_du_malware}"
Puis ajoute cette entrée au registre :
HKEY_CURRENT_USER\Software\Microsoft\Sysinf
"cur_not_done" = "{valeur_hexadécimale}"
Pgpcoder-A cherche tous les fichiers ayant les extensions suivantes :
.asc
.db
.db1
.db2
.dbf
.doc
.htm
.html
.jpg
.pgp
.rar
.rtf
.txt
.xls
.zip
Chaque fichier trouvé est encodé et donc inutilisable.
Pgpcoder-A crée le fichier ATTENTION!!!.txt dans tous les répertoires comportant un fichier encodé. Voici le contenu du fichier texte :
Some files are coded.
To buy decoder mail: {utilisateur}@yahoo.com
with subject: PGPcoder 000000000032
Le message invite à acheter la façon de décoder les fichiers en envoyant un courriel à l'adresse électronique spécifiée.
Si tout se passe comme prévu, Pgpcoder-A exécutera le fichier déposé c:\tmp.bat, lui permettant de se désinstaller.
le cheval de Troie crée un listing des répertoires et le sauvegarde dans le fichier %Temp%\autosave.sin.
Taille: 56832 Octet(s)
Détails techniques:
Quand Pgpcoder-A est exécuté, il crée un mutex nommé "encoder_v1.0" pour empêcher l'exécution simultanée de plusieurs versions du cheval de Troie sur la machine infectée.
Afin de se lancer à chaque démarrage, il ajoute l'entrée de registre suivante :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"services" = "{chemin\nom_du_malware}"
Puis ajoute cette entrée au registre :
HKEY_CURRENT_USER\Software\Microsoft\Sysinf
"cur_not_done" = "{valeur_hexadécimale}"
Pgpcoder-A cherche tous les fichiers ayant les extensions suivantes :
.asc
.db
.db1
.db2
.dbf
.doc
.htm
.html
.jpg
.pgp
.rar
.rtf
.txt
.xls
.zip
Chaque fichier trouvé est encodé et donc inutilisable.
Pgpcoder-A crée le fichier ATTENTION!!!.txt dans tous les répertoires comportant un fichier encodé. Voici le contenu du fichier texte :
Some files are coded.
To buy decoder mail: {utilisateur}@yahoo.com
with subject: PGPcoder 000000000032
Le message invite à acheter la façon de décoder les fichiers en envoyant un courriel à l'adresse électronique spécifiée.
Si tout se passe comme prévu, Pgpcoder-A exécutera le fichier déposé c:\tmp.bat, lui permettant de se désinstaller.
le cheval de Troie crée un listing des répertoires et le sauvegarde dans le fichier %Temp%\autosave.sin.
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
