Troj_Pgpcoder-B
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 56320 Octet(s)
Détails techniques:
A son exécution, Pgpcoder-B encode tous les fichiers, trouvés sur les différents lecteurs, ayant les extensions suivantes :
arj
cdr
cgi
css
csv
db
dbf
dbt
dbx
doc
flb
frm
frt
frx
gtd
gz
htm
html
kwm
mdb
mmf
pak
pdf
pl
pst
pwa
pwl
pwm
rar
rmr
rtf
safe
sar
tar
tbb
txt
xls
xml
zip
De ce fait, tous les fichiers encodés sont inutilisables.
Quand Pgpcoder-B rencontre un fichier en cours d'utilisation, il ne peut l'encoder directement, il est obligé de copier ce fichier sous le nom coder{nom_du_fichier}.{extension} dans le même dossier. Il encode ensuite ce fichier copié.
Le cheval de Troie crée également un mutex nommé "encoder_v1.1" pour empêcher l'exécution simultanée de plusieurs versions du trojan sur la machine infectée.
Il dépose ensuite le fichier readme.txt dans tous les dossiers où il a encodé un fichier.
Voici le contenu du fichier texte :
Some files are coded.
To buy decoder mail: md56@mail.ru
with subject: PGPcoder md56
Le message invite à acheter la façon de décoder les fichiers en envoyant un courriel à l'adresse électronique spécifiée.
Ce cheval de Troie tente aussi l'entrée de registre suivante, afin de s'assurer d'être lancé à chaque démarrage de Windows :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
services = {chemin + nom du malware}
Cependant, si l'emplacement ou le nom du fichier contient un espace, la donnée entrée est modifiée afin de contenir tous les caractères avant la première occurrence de l'espace, tronquant ainsi l'emplacement et le nom du fichier effectif. C'est pourquoi dans ce cas, les entrées de la base de registre ne parviennent pas à déterminer l'emplacement du trojan.
Pgpcoder-B crée aussi une entrée de registre permettant de comptabiliser le nombre de fichiers encodés :
HKEY_CURRENT_USER\Software\Microsoft\Sysinf
cur_not_done = "{valeur DWORD}"
Pgpcoder-B crée le fichier autosave.in dans le dossier temporaire de Windows. Ce fichier contient la liste des fichiers et des dossiers trouvés sur les différents lecteurs du système.
Une fois la contamination terminée, il crée un fichier batch tmp.bat dans le répertoire racine (généralement C:). Il l'exécute afin de supprimer la copie du trojan.
Taille: 56320 Octet(s)
Détails techniques:
A son exécution, Pgpcoder-B encode tous les fichiers, trouvés sur les différents lecteurs, ayant les extensions suivantes :
arj
cdr
cgi
css
csv
db
dbf
dbt
dbx
doc
flb
frm
frt
frx
gtd
gz
htm
html
kwm
mdb
mmf
pak
pl
pst
pwa
pwl
pwm
rar
rmr
rtf
safe
sar
tar
tbb
txt
xls
xml
zip
De ce fait, tous les fichiers encodés sont inutilisables.
Quand Pgpcoder-B rencontre un fichier en cours d'utilisation, il ne peut l'encoder directement, il est obligé de copier ce fichier sous le nom coder{nom_du_fichier}.{extension} dans le même dossier. Il encode ensuite ce fichier copié.
Le cheval de Troie crée également un mutex nommé "encoder_v1.1" pour empêcher l'exécution simultanée de plusieurs versions du trojan sur la machine infectée.
Il dépose ensuite le fichier readme.txt dans tous les dossiers où il a encodé un fichier.
Voici le contenu du fichier texte :
Some files are coded.
To buy decoder mail: md56@mail.ru
with subject: PGPcoder md56
Le message invite à acheter la façon de décoder les fichiers en envoyant un courriel à l'adresse électronique spécifiée.
Ce cheval de Troie tente aussi l'entrée de registre suivante, afin de s'assurer d'être lancé à chaque démarrage de Windows :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
services = {chemin + nom du malware}
Cependant, si l'emplacement ou le nom du fichier contient un espace, la donnée entrée est modifiée afin de contenir tous les caractères avant la première occurrence de l'espace, tronquant ainsi l'emplacement et le nom du fichier effectif. C'est pourquoi dans ce cas, les entrées de la base de registre ne parviennent pas à déterminer l'emplacement du trojan.
Pgpcoder-B crée aussi une entrée de registre permettant de comptabiliser le nombre de fichiers encodés :
HKEY_CURRENT_USER\Software\Microsoft\Sysinf
cur_not_done = "{valeur DWORD}"
Pgpcoder-B crée le fichier autosave.in dans le dossier temporaire de Windows. Ce fichier contient la liste des fichiers et des dossiers trouvés sur les différents lecteurs du système.
Une fois la contamination terminée, il crée un fichier batch tmp.bat dans le répertoire racine (généralement C:). Il l'exécute afin de supprimer la copie du trojan.
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
