Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
PGPCoder.B encripta todos los archivos con cualquiera de las siguientes extensiones: ARJ, CDR, CGI, CSS, CSV, DBF, DBT, DBX, DOC, FLB, FRM, FRT, FRX, GTD, GZ, HTM, HTML, KWM, MDB, MMF, PAK, PDF, PL, PST, PWA, PWL, PWM, RAR, RMR, RTF, SAFE, SAR, TAR, TBB, TXT, XLS, XML y ZIP. Los archivos encriptados se detectan como PGPCoder.B.Crypt.
Dichas extensiones incluyen documentos de Word, hojas de cálculo de Excel, bases de datos de Access, archivos de texto, imágenes JPG, archivos comprimidos mediante WinZip, WinRAR y ARJ, etc.
El usuario no podrá abrir dichos archivos hasta que sean debidamente desencriptados. PGPCoder.B da instrucciones al usuario para que envíe un mensaje a una dirección de correo electrónico, de modo que pueda comprar la herramienta para desencriptarlos.
>
Tenga en cuenta que las soluciones Panda detectan y desencriptan los archivos codificados por PGPCoder.B, de forma que podrá recuperarlos.
Metodo de Infección
PGPCoder.B crea los siguientes archivos:
- TMP.BAT en el directorio raíz de la unidad C:. Una vez que PGPCoder.B ha encriptado los archivos, este archivo de proceso por lotes borra el troyano del disco duro.
- README.TXT. Crea un archivo como éste en cada carpeta en la cual haya encriptado algún archivo. Este archivo de texto contiene el siguiente mensaje:
Some files are coded.
To buy decoder mail: md56@mail.ru
with subject: PGPcoder md56
cuya traducción es:
Algunos archivos están codificados.
Para comprar el decodificador, envía un mensaje a la dirección: md56@mail.ru
con el asunto: PGPcoder md56
- AUTOSAVE.SIN en el directorio temporal de Windows.
PGPCoder.B modifica todos los archivos con extensión ARJ, CDR, CGI, CSS, CSV, DBF, DBT, DBX, DOC, FLB, FRM, FRT, FRX, GTD, GZ, HTM, HTML, KWM, MDB, MMF, PAK, PDF, PL, PST, PWA, PWL, PWM, RAR, RMR, RTF, SAFE, SAR, TAR, TBB, TXT, XLS, XML y ZIP, ya que los encripta.
PGPCoder.B crea las siguientes entradas en el Registro de Windows:
- HKEY_CURRENT_USER\ Software\ Microsoft\ Sysinf
cur_not_done = %DWORD variable%
donde %DWORD variable% es el número de archivos que el troyano ha cifrado. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
services = %ruta%\ %archivo%
donde %ruta% es la ruta hasta el directorio donde el archivo del troyano, que tiene un nombre aleatorio %archivo%, ha sido ejecutado.
Mediante esta entrada, PGPCoder.B consigue ejecutarse cada vez que Windows se inicia.
Tenga en cuenta que, debido a errores de programación, si la ruta presenta algún espacio en blanco, estará truncada en el primero. Por ejemplo: C:\ Archivos de Programa estaría cortado a C:\ Archivos.
Método de Propagación
PGPCoder.B no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Otros Detalles
PGPCoder.B está escrito en el lenguaje de programación Visual C++. Este troyano tiene un tamaño de 56320 Bytes, y está comprimido mediante UPX.
Internamente, los archivos codificados por PGPCoder.B comienzan con la cadena de texto PGPcoder md56.
Este troyano crea un mutex llamado encoder_v1.1 para comprobar si ya está ejecutándose en el ordenador.
>>