lunedì 6 luglio 2009

Trojan: W32/Gpcode







Nome: Trojan: W32/Gpcode
Nomi di rilevazione: Virus.Win32.Gpcode
Categoria: Malware
Tipo: Trojan
Piattaforma: W32

Riepilogo

Conosciuto anche come un cavallo di Troia, questo è un programma ingannevole che esegue azioni aggiuntive all'insaputa dell'utente senza permesso. E non replica.

Ulteriori dettagli

Gpcode è un Trojan che cripta i file con determinate estensioni sulle unità locali e remote e poi chiede all'utente di contattare il suo autore per acquistare una soluzione di decodifica. Quindi, in pratica il trojan rende ostaggi i file dell'utente e chiede un riscatto per "liberarli". Questo è un tipo di attività criminale che non si vedeva da molto tempo.

Il file è un trojan eseguibile PE di circa 56 kilobyte, compresso col compressore di fileUPX.

Esecuzione

Dopo che il file il trojan viene eseguito da un utente, viene creata una chiave di avvio per i suoi file nel registro di Windows:

• [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]
 "servizi" = "[nome file]"

dove [nome file] è il nome del file del Trojan.

Attività

Il trojan inizia a scansionare le unità locali e remote per cercare i file con le seguenti estensioni:

•. Xls
•. Doc
•. Txt
•. Rtf
•. Zip
•. Rar
•. Dbf
•. Htm
•. Html
•. Jpg
•. Db
•. DB1
•. Db2
•. Asc
•. Pgp

Quando un file con uno di questi estensioni viene trovato, il trojan legge nella memoria, crittografa i dati del file con un semplice algoritmo, salva i dati crittografati in un nuovo file (il nome di questo file è 'coder' + nome del file originale: per esempio per il FILE.PGP il trojan creerà il file CODERFILE.PGP), elimina il file originale e quindi rinomina il file appena creato con il nome del file originale.

Dopo di che il trojan crea un file di testo denominato ATTENZIONE!. TXT nella stessa cartella dove si trova il file criptato. Questo file txt contiene il seguente testo:

• Alcuni file sono codificati.
• Per acquistare decoder mail: n781567@yahoo.com
• con oggetto: 000000000032 PGPcoder

Tutti i file cifrati hanno la seguente stringa di 21 byte di testo in loro inizio:

• PGPcoder 000000000032

L'algoritmo di crittografia è abbastanza semplice - il trojan utilizza operazione di aggiunta su dati del file originale con una sola chiave di crittografia byte. Il valore originario della chiave di cifratura è 58 (0x3A) ed è modificato con 2 valori fissi byte che sono 37 (0x25) e 92 (0x5c) dopo la cifratura di ogni successivo byte di dati del file originale.

Mentre che il trojan esegue la scansione di unità locali e remote, mantiene una traccia di tutte le cartelle ed i file trovati nel file AUTOSAVE.SIN che viene creato in una cartella temporanea.

Dopo che tutti i file sono criptati il trojan termina il suo processo, cancella il suo file eseguibile, AUTOSAVE.SIN file e la sua chiave di avvio dal Registro di sistema.

Rilevamento

F-Secure Anti-Virus rileva trojan Gpcode.b con il seguente aggiornamento:
[FSAV_Versione_Database]
Version = 2005-05-23_01

Fonte: F-Secure

Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...