RSS Kanäle | Diskussionen | Umfragen | Site Map




Alle Bedrohungen

Viren

Hacker

Spam
Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog


Das Malware Medium
Malware-Typen
Wer kreiert Malware?
Die Geschichte der Schadprogramme
Malware Trends
Wenn Ihr Computer infiziert ist

 
Suche nach Malware Beschreibungen

 

  Home / Viren / Virus Enzyklopädie / Malware-Typen / Klassische Viren / File and Boot Viruses

Virus.Win32.Gpcode.ai

Andere Version: .ac, .ae, .af, .ag, .ak, .f

Datum: Wann entdeckt? 16 Jul 2007 01:10 GMT
Datum der Veröffentlichung 17 Jul 2007
Behavior Virus

Technical Details

Schadprogramm zur Verschlüsselung von Anwender-Dateien auf dem infizierten Computer. Es ist ein Windowsprogramm (PE EXE-Datei), dass mit UPX gepackt wurde. In unkomprimierter Form hat der Schädling eine Größe von 58368 Bytes. Bekannte Versionen hatten den Namen „ntos.exe“.

Payload

Nach seinem Start erstellt der Virus einen einzigartigen Schlüssel zur Verschlüsselung der Dateien und speichert diesen in der Registry:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"WinCode" = ""

Zusätztlich hinterlässt der Schädling noch den Pfad zu sich selbst in der Registry:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe"

Dieser Eintrag wird regelmäßig von infizierten System-Prozessen (z.B. Winlogon.exe) überprüft, und ggf. wieder hergestellt – er ist also vor jeglichen Änderungen geschützt.

Wenn das Systemdatum zwischen dem 10. und 15. Juli (einschließlich) 2007 liegt, verschlüsselt das Programm alle Dateien mit folgenden Dateiendungen:

.12m
.3ds
.3dx
.4ge
.4gl
.7z 
.a
.a86
.abc
.acd 
.ace
.act
.ada
.adi
.aex
.af3
.afd
.ag4
.ai
.aif
.aifc
.aiff 
.ain  
.aio  
.ais  
.akf  
.alv  
.amp  
.ans 
.ap 
.apa  
.apo  
.app  
.arc  
.arh  
.arj  
.arx  
.asc  
.asm  
.ask  
.au   
.bak  
.bas  
.bb   
.bcb  
.bcp  
.bdb  
.bh   
.bib  
.bpr  
.bsa  
.btr 
.bup  
.bwb  
.bz   
.bz2  
.c   
.c86  
.cac  
.cbl  
.cc   
.cdb  
.cdr  
.cgi  
.cmd  
.cnt  
.cob  
.col  
.cpp  
.cpt  
.crp  
.cru  
.csc  
.css  
.csv 
.ctx  
.cvs  
.cwb  
.cwk  
.cxe  
.cxx  
.cyp  
.d    
.db  
.db0  
.db1  
.db2  
.db3  
.db4  
.dba  
.dbb  
.dbc  
.dbd 
.dbe  
.dbf  
.dbk  
.dbm  
.dbo  
.dbq  
.dbt  
.dbx  
.dfm  
.djvu 
.dic  
.dif  
.dm   
.dmd  
.doc  
.dok  
.dot 
.dox  
.dsc  
.dwg  
.dxf  
.dxr
.eps  
.exp  
.f    
.fas  
.fax  
.fdb  
.fla  
.flb  
.frm  
.fm   
.fox  
.frm  
.frt  
.frx  
.fsl  
.gtd  
.gif 
 .gz   
.gzip 
.h    
.ha   
.hh   
.hjt  
.hog  
.hpp  
.htm  
.html 
.htx  
.ice  
.icf  
.inc  
.ish  
.iso  
.jar  
.jad 
.java 
.jpg  
.jpeg 
.js   
.jsp  
.key  
.kwm  
.lst 
.lwp  
.lzh  
.lzs  
.lzw  
.ma   
.mak  
.man  
.maq  
.mar  
.mbx  
.mdb 
.mdf  
.mid  
.mo   
.myd  
.obj  
.old  
.p12  
.pak  
.pas  
.pdf  
.pem  
.pfx  
.php  
.php3 
.php4 
.pgp  
.pkr  
.pl   
.pm3  
.pm4  
.pm5 
.pm6 
.png  
.ppt  
.pps  
.prf  
.prx  
.ps   
.psd  
.pst  
.pw   
.pwa  
.pwl  
.pwm  
.pwp  
.pxl  
.py   
.rar
.res
.rle
.rmr
.rnd
.rtf
.safe
.sar
.skr
.sln
.swf
.sql
.tar
.tbb
.tex
.tga
.tgz
.tif  
.tiff
.txt
.vb
.vp 
.wps
.xcr
.xls
.xml
.zip

Abschließend hinterlässt der Virus eine Datei „read_me.txt“ in jedem Verzeichnis, in dem Dateien verschlüsselt wurden. Die Datei enthält folgenden Text:

Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).
You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us.

To decrypt your files you need to buy our software. The price is $300.

To buy our software please contact us at: xxxxx@xxxx.com and provide us your personal code -XXXXX. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system.

If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data.

 

Glamorous team

teamDer Virus erstellt im Windows System-Verzeichnis ein unsichtbares Verzeichnis mit dem Namen „wsnpoem“, in dem sich zwei leere Dateien befinden – video.dll und audio.dll.

Removal instructions

Wenn Ihr Computer nicht über eine zeitgemäße Antivirenlösung mit aktuellen Updates verfügt, können Sie mit folgenden Schritten den Schädling von Ihrem Computer löschen:

  1. Ändern sie in der Registry alle Werte, die den Namen des schädlichen Moduls („ntos.exe“) enthalten um ein zusätzliches Zeichen. Hier ein Beispiel: 
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe_"
  2. Starten Sie den Computer neu.
  3. Löschen Sie nun das schädliche Programm „ntos.exe“ im Windows-Systemverzeichnis: 
    ntos.exe
  4. Für die Dechiffrierung der Dateien, die vom Schadprogramm verschlüsselt wurden, können Sie eine kostenlose Utiliy verwenden. Informationen über diese Utility erhalten Sie auf der Webseite des Technischen Supports von Kaspersky Lab; dort können Sie dieûó Utiliy auch herunterladen. Achtung! Lesen Sie aufmerksam die Anleitung zur Utiliy. Wird ein fehlerhafter Schlüssel zur Dechiffrierung eingegeben, können die Dateien endgültig beschädigt werden
  5. Aktualisieren Sie Ihre Antivirendatenbank und führen Sie einen Fullscan durch
 		 

Copyright © 1996 - 2009
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com