Troj_Pgpcoder-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 56832 Octet(s)

Détails techniques:

Quand Pgpcoder-A est exécuté, il crée un mutex nommé "encoder_v1.0" pour empêcher l'exécution simultanée de plusieurs versions du cheval de Troie sur la machine infectée.

Afin de se lancer à chaque démarrage, il ajoute l'entrée de registre suivante :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"services" = "
{chemin\nom_du_malware}"

Puis ajoute cette entrée au registre :

HKEY_CURRENT_USER\Software\Microsoft\Sysinf
"cur_not_done" = "
{valeur_hexadécimale}"

Pgpcoder-A cherche tous les fichiers ayant les extensions suivantes :

.asc
.db
.db1
.db2
.dbf
.doc
.htm
.html
.jpg
.pgp
.rar
.rtf
.txt
.xls
.zip


Chaque fichier trouvé est encodé et donc inutilisable.

Pgpcoder-A crée le fichier ATTENTION!!!.txt dans tous les répertoires comportant un fichier encodé. Voici le contenu du fichier texte :

Some files are coded.
To buy decoder mail:
{utilisateur}@yahoo.com
with subject: PGPcoder 000000000032


Le message invite à acheter la façon de décoder les fichiers en envoyant un courriel à l'adresse électronique spécifiée.

Si tout se passe comme prévu, Pgpcoder-A exécutera le fichier déposé c:\tmp.bat, lui permettant de se désinstaller.

le cheval de Troie crée un listing des répertoires et le sauvegarde dans le fichier %Temp%\autosave.sin.




http://www.cccure.net/