Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
PGPCoder.A encripta todos los archivos con cualquiera de las siguientes extensiones: ASC, DB, DB1, DB2, DBF, DOC, HTM, HTML, JPG, PGP, RAR, RTF, TXT, XLS y ZIP.
Dichas extensiones incluyen documentos de Word, hojas de cálculo de Excel, archivos de texto, imágenes JPG, archivos comprimidos mediante WinZip y WinRAR, etc.
El usuario no podrá abrir dichos archivos hasta que sean debidamente desencriptados. PGPCoder.A da instrucciones al usuario para que envíe un mensaje a una dirección de correo electrónico, de modo que pueda comprar la herramienta para desencriptarlos.
Metodo de Infección
PGPCoder.A crea los siguientes archivos:
- TMP.BAT en el directorio raíz de la unidad C:. Una vez que PGPCoder.A ha encriptado los archivos, este archivo de proceso por lotes borra el troyano del disco duro.
- ATTENTION!!!.TXT. Crea un archivo como éste en cada carpeta en la cual haya encriptado algún archivo. Este archivo de texto contiene el siguiente mensaje:
Some files are coded.
To buy decoder mail: n781567@yahoo.com
with subject: PGPcoder 000000000032
cuya traducción es:
Algunos archivos están codificados.
Para comprar el decodificador, envía un mensaje a la dirección: n781567@yahoo.com
con el asunto: PGPcoder 000000000032
- AUTOSAVE.SIN en el directorio temporal de Windows.
PGPCoder.A modifica todos los archivos con extensión ASC, DB, DB1, DB2, DBF, DOC, HTM, HTML, JPG, PGP, RAR, RTF, TXT, XLS y ZIP, ya que los encripta.
PGPCoder.A crea las siguientes entradas en el Registro de Windows:
- HKEY_CURRENT_USER\ Software\ Microsoft\ Sysinf
cur_not_done = %DWORD variable%
donde %DWORD variable% es el número de archivos que el troyano ha cifrado. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
services = %ruta%\ %archivo%
donde %ruta% es la ruta hasta el directorio donde el archivo del troyano, que tiene un nombre aleatorio %archivo%, ha sido ejecutado.
Mediante esta entrada, PGPCoder.A consigue ejecutarse cada vez que Windows se inicia.
Tenga en cuenta que, debido a errores de programación, si la ruta presenta algún espacio en blanco, estará truncada en el primero. Por ejemplo: C:\ Archivos de Programa estaría cortado a C:\ Archivos.
Método de Propagación
PGPCoder.A no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Otros Detalles
PGPCoder.A está escrito en el lenguaje de programación Visual C++. Este troyano tiene un tamaño de 56832 Bytes, y está comprimido mediante UPX.
Internamente, los archivos codificados por PGPCoder.A comienzan con la cadena de texto PGPcoder 000000000032.