Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 56832 Octet(s)
Détails techniques:
Quand Pgpcoder-A est exécuté, il crée un mutex nommé "encoder_v1.0" pour empêcher l'exécution simultanée de plusieurs versions du cheval de Troie sur la machine infectée.
Afin de se lancer à chaque démarrage, il ajoute l'entrée de registre suivante :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"services" = "{chemin\nom_du_malware}"
Puis ajoute cette entrée au registre :
HKEY_CURRENT_USER\Software\Microsoft\Sysinf
"cur_not_done" = "{valeur_hexadécimale}"
Pgpcoder-A cherche tous les fichiers ayant les extensions suivantes :
.asc
.db
.db1
.db2
.dbf
.doc
.htm
.html
.jpg
.pgp
.rar
.rtf
.txt
.xls
.zip
Chaque fichier trouvé est encodé et donc inutilisable.
Pgpcoder-A crée le fichier ATTENTION!!!.txt dans tous les répertoires comportant un fichier encodé. Voici le contenu du fichier texte :
Some files are coded.
To buy decoder mail: {utilisateur}@yahoo.com
with subject: PGPcoder 000000000032
Le message invite à acheter la façon de décoder les fichiers en envoyant un courriel à l'adresse électronique spécifiée.
Si tout se passe comme prévu, Pgpcoder-A exécutera le fichier déposé c:\tmp.bat, lui permettant de se désinstaller.
le cheval de Troie crée un listing des répertoires et le sauvegarde dans le fichier %Temp%\autosave.sin.