[Dolarcles]

Ce matin j'ai entendu aux nouvelles un fait intéressant :

Blablablablabla NOUVEAU VIRUS!!!! blablablablabla qui formatte votre disque dur ET crypte vos données blablablablablablba vous demande une rançon pour décrypter blablablabla

Alors bon, je me suis déjà marré qu'un virus formatte un dd et crypte ensuite son contenu (chapeau les gars), mais je me suis informé sérieusement à propos de ce virus, qui est une vive démonstration des blaireaux qui peuvent exister.

Version grand public :

Ce virus, un "cheval de Troie" qui entre dans votre ordinateur, peut formater le disque dur et crypter tous les textes qui s'y trouvent. Il annonce ensuite sur votre écran le montant de la rançon demandée, 200 dollars (153 euros), pour restaurer les données d'origine.

Splendide, faudra réviser votre vocabulaire les mecs.

Sinon, voici comment fonctionne vraiment ce virus (trouvé sur zebulon)

Quand Pgpcoder-A est exécuté, il crée un mutex nommé "encoder_v1.0" pour empêcher l'exécution simultanée de plusieurs versions du cheval de Troie sur la machine infectée.

Afin de se lancer à chaque démarrage, il ajoute l'entrée de registre suivante :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"services" = "{chemin\nom_du_malware}"

Puis ajoute cette entrée au registre :

HKEY_CURRENT_USER\Software\Microsoft\Sysinf
"cur_not_done" = "{valeur_hexadécimale}"

Pgpcoder-A cherche tous les fichiers ayant les extensions suivantes :

.asc
.db
.db1
.db2
.dbf
.doc
.htm
.html
.jpg
.pgp
.rar
.rtf
.txt
.xls
.zip

Chaque fichier trouvé est encodé et donc inutilisable.

Pgpcoder-A crée le fichier ATTENTION!!!.txt dans tous les répertoires comportant un fichier encodé. Voici le contenu du fichier texte :

Some files are coded.
To buy decoder mail: {utilisateur}@yahoo.com
with subject: PGPcoder 000000000032

Le message invite à acheter la façon de décoder les fichiers en envoyant un courriel à l'adresse électronique spécifiée.

Si tout se passe comme prévu, Pgpcoder-A exécutera le fichier déposé c:\tmp.bat, lui permettant de se désinstaller.

le cheval de Troie crée un listing des répertoires et le sauvegarde dans le fichier %Temp%\autosave.sin.

Mais bon, le codeur de ce virus est débile, car

Mais comme tous les racketteurs, il a ses faiblesses: pour se faire payer, il donne une adresse internet et un compte bancaire électronique permettant éventuellement de le retrouver.

A noter que je n'ai pas trouvé d'informations sur le type de cryptage utilisé (ce qui pourrait être intéressant, car un virus de ce genre existe déjà, mais le cryptage était ridicule).

[Helger]

En tout cas, tous les grands éditeurs commerciaux d'anti-virus en parlent.

• McAffe : PgpCoder
• Trend Micro : Troj_ PGPCoder.A
• Kaspersky Lab : Win32.Gpcode.b
• Symantec : Trojan.Pgpcoder
• Panda : PGPCoder.A

Le meilleur, c'est quand même Panda Sofware :

In circulation ? No.

[Dolarcles]

Quand le FBI découvrira que le compte sur lequel on doit verser la tune pour décrypter les fichiers appartient à Simantekre, MacCaffé et Nounours, on risque de bien se marrer

[Helger]

Marrant, j'ai pensé comme toi. (Surtout avec le commentaire de Panda.).
Dans un premier temps, j'avais mis un commentaire dans ce sens. Et puis je l'ai enlevé. (Au cas où.).
Et puis, il faut bien faire du fric.

[Helger]

Pour compléter : 'Des sous! sinon je crypte tes fichiers'.

Selon le site spécialisé VirusTraq.com, cette escroquerie inédite a pu être réalisée via une faille d'Internet Explorer connue et corrigée par Microsoft en Juillet 2004.

Websense précise que le code de chiffrement utilisé n'est pas excessivement complexe et qu'il n'est pas difficile de le casser pour récupérer les fichiers verrouillés.

De plus en plus curieux.