Autor Tema: Gpcode.b --> Encripta Los Archivos (Leído 1257 veces)

RadicalEd · « **en:** Miércoles 25 de Mayo de 2005, 18:57 »

aliases: Gpcode.B, TROJ_PGPCODER.A, Trojan.PGPCoder, Virus.Win32.Gpcode.b, W32/PGPcoder-tr, Win32/Gpcode.B, Troj/Gpcode.B
tipo: Troyano
fecha: 22/05/2005
gravedad general: alta
distribución: baja
daño: alto
tamaño: 118,784 Bytes
destructivo: Si
origen: Desconocido
nombre asignado por: ESET
> INFORMACION
Troyano que encripta ciertos archivos de los equipos infectados, y luego pide al usuario que este le pague al autor por recuperarlos.
> CARACTERISTICAS
Troyano que encripta ciertos archivos de los equipos infectados, y luego pide al usuario que este le pague al autor por recuperarlos.

No se propaga por si mismo y puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.

Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.

Otros malwares también podrían descargarlo y ejecutarlo en un sistema infectado.

Cuando se ejecuta, el troyano encripta todos los archivos de la máquina infectada con las siguientes extensiones, dejándolos inutilizables (deben ser recuperados de un respaldo anterior limpio):

.asc
.db
.db1
.db2
.dbf
.doc
.htm
.html
.jpg
.pgp
.rar
.rtf
.txt
.xls
.zip

El troyano busca estos archivos en todas las unidades de disco y recursos compartidos de redes que tengan permisos de escritura.

Para no ejecutarse más de una vez en memoria, el troyano crea el siguiente mutex (un objeto indicador):

encoder_v1.0

Crea el archivo "ATTENTION!!!.TXT" en cada carpeta donde exista uno de los archivos encriptados anteriormente. Dicho archivo contiene el siguiente texto:

Some files are coded.
To buy decoder mail: n781567@yahoo.com
with subject: PGPcoder 000000000032

El troyano también crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKCU\Software\Microsoft
\Windows\CurrentVersion\Run
services = "[camino y nombre ejecutable]"

Si el "camino completo" contiene espacios (por ejemplo: "C:\Documents and Settings\usuario\Mis documentos"), entonces dicho nombre quedará truncado en el primer espacio, fallando por lo tanto la ejecución del troyano.

El troyano también crea la siguiente entrada, que utiliza para su propio control:

HKCU\Software\Microsoft\Sysinf
cur_not_done = [cantidad de archivos encriptados]

También crea el siguiente archivo en la carpeta de archivos temporales de Windows:

AUTOSAVE.IN

Este archivo contiene la lista de archivos y carpetas con permisos de escritura encontradas en la máquina infectada.

Después de encriptar todos los archivos que encuentra, el troyano crea el siguiente archivo en el raíz de C:, el cuál utiliza para borrar su propia copia del equipo infectado:

TMP.BAT

> INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y elimine los archivos infectados.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la entrada "services", en la siguiente clave del registro:

HKEY_CURRENT_USER\Software
\Microsoft\Windows\CurrentVersion\Run

6. Borre la carpeta "Sysinf" en la siguiente clave del registro:

HKEY_CURRENT_USER\Software
\Microsoft\Sysinf

7. Cierre el editor del registro.

8. Desde el Explorador de Windows, busque y borre los siguientes archivos:

ATTENTION!!!.TXT
AUTOSAVE.IN
TMP.BAT

9. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

NOTA: Los archivos encriptados deberán ser recuperados desde un respaldo anterior limpio.

SoloCodigo

Autor Tema: Gpcode.b --> Encripta Los Archivos (Leído 1257 veces)

RadicalEd

Gpcode.b --> Encripta Los Archivos