RSS | Foro | Encuestas | Mapa de nuestro sitio




Todas las amenazas

Virus

Hackers

Spam
Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario


El entorno de los programas maliciosos
Descripciones de los programas maliciosos
Los creadores de programas maliciosos
Historia de los programas maliciosos
Tendencias
Si su ordenador está infectado

 
Sobre hackers
About Hackers

Más información sobre hackers y vulnerabilidados en nuestra sección sobre hackers y vulnerabilidades.
Sobre spam
Sobre spam

Lea más sobre el spam y los spammers en nuestra sección sobre spam.

 		 

  Home / Virus / Enciclopedia de virus

Virus.Win32.Gpcode.ai

Otras versiones: .ad, .ag, .ak

Detección agregada 16 jul 2007 01:10 GMT
Descripción agregada 16 jul 2007
Comportamiento Virus

Detalles técnicos

Programa nocivo que cifra los ficheros del usuario en el ordenador infectado. Es un programa para Windows (fichero PE-EXE). Está empaquetado con UPX. Su tamaño es de 58.368 bytes. Las variantes conocidas tenían el nombre “ntos.exe”.

Los ficheros ejecutables de las variantes conocidas tenían el nombre “ntos.exe”.

Daños

Después de iniciarse, el virus genera una llave única para cifrar los ficheros y los guarda en la siguiente llave del registro del sistema:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"WinCode" = "<llave de cifrado>"

También se inscribe a sí mismo en la llave de autoinicio del registro del sistema:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe"

El valor de la llave se coteja con el contenido de los procesos del sistema dónde se ha infiltrado el código nocivo (por ejemplo, Winlogon.exe). Si el valor de la llave cambia (p.e., se la elimina el valor c:\windows\system32\ntos.exe), se la reestablece automáticamente desde algún proceso del sistema.

Además, el código infiltrado protege el fichero ubicado en el directorio del sistema (c:\windows\system32\ntos.exe) contra cualquier modificación, cambio de nombre o copia.

Después, si la fecha en curso se encuentra en el diapasón entre el 10 y 15 de julio de 2007 (inclusive), el programa nocivo empieza a cifrar todos los ficheros del usuario que tengan las siguientes extensiones:

.12m
.3ds
.3dx
.4ge
.4gl
.7z 
.a
.a86
.abc
.acd 
.ace
.act
.ada
.adi
.aex
.af3
.afd
.ag4
.ai
.aif
.aifc
.aiff 
.ain  
.aio  
.ais  
.akf  
.alv  
.amp  
.ans 
.ap 
.apa  
.apo  
.app  
.arc  
.arh  
.arj  
.arx  
.asc  
.asm  
.ask  
.au   
.bak  
.bas  
.bb   
.bcb  
.bcp  
.bdb  
.bh   
.bib  
.bpr  
.bsa  
.btr 
.bup  
.bwb  
.bz   
.bz2  
.c   
.c86  
.cac  
.cbl  
.cc   
.cdb  
.cdr  
.cgi  
.cmd  
.cnt  
.cob  
.col  
.cpp  
.cpt  
.crp  
.cru  
.csc  
.css  
.csv 
.ctx  
.cvs  
.cwb  
.cwk  
.cxe  
.cxx  
.cyp  
.d    
.db  
.db0  
.db1  
.db2  
.db3  
.db4  
.dba  
.dbb  
.dbc  
.dbd 
.dbe  
.dbf  
.dbk  
.dbm  
.dbo  
.dbq  
.dbt  
.dbx  
.dfm  
.djvu 
.dic  
.dif  
.dm   
.dmd  
.doc  
.dok  
.dot 
.dox  
.dsc  
.dwg  
.dxf  
.dxr
.eps  
.exp  
.f    
.fas  
.fax  
.fdb  
.fla  
.flb  
.frm  
.fm   
.fox  
.frm  
.frt  
.frx  
.fsl  
.gtd  
.gif 
 .gz   
.gzip 
.h    
.ha   
.hh   
.hjt  
.hog  
.hpp  
.htm  
.html 
.htx  
.ice  
.icf  
.inc  
.ish  
.iso  
.jar  
.jad 
.java 
.jpg  
.jpeg 
.js   
.jsp  
.key  
.kwm  
.lst 
.lwp  
.lzh  
.lzs  
.lzw  
.ma   
.mak  
.man  
.maq  
.mar  
.mbx  
.mdb 
.mdf  
.mid  
.mo   
.myd  
.obj  
.old  
.p12  
.pak  
.pas  
.pdf  
.pem  
.pfx  
.php  
.php3 
.php4 
.pgp  
.pkr  
.pl   
.pm3  
.pm4  
.pm5 
.pm6 
.png  
.ppt  
.pps  
.prf  
.prx  
.ps   
.psd  
.pst  
.pw   
.pwa  
.pwl  
.pwm  
.pwp  
.pxl  
.py   
.rar
.res
.rle
.rmr
.rnd
.rtf
.safe
.sar
.skr
.sln
.swf
.sql
.tar
.tbb
.tex
.tga
.tgz
.tif  
.tiff
.txt
.vb
.vp 
.wps
.xcr
.xls
.xml
.zip

En cada catálogo donde se hayan cifrado ficheros, el virus pone el fichero read_me.txt, que tiene el siguiente contenido:

Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).
You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us.

To decrypt your files you need to buy our software. The price is $300.

To buy our software please contact us at: xxxxx@xxxx.com and provide us your personal code -XXXXX. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system.

If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data.

 

Glamorous team

El virus crea en el directorio del sistema de Windows un directorio escondido, “wsnpoem”, que contiene dos ficheros vacíos: vide.dll y audio.dll.

Instrucciones de eliminación

Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo:

  1. Para desactivar de forma manual el programa nocivo, se puede cambiar el valor de la llave del registro agregando cualquier carácter al final del nombre del módulo nocivo. Por ejemplo: 
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe_"
  2. Reiniciar el ordenador.
  3. Eliminar manualmente los siguientes ficheros del catálogo del sistema de Windows: 
    ntos.exe
    Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
 

Copyright © 1996 - 2010
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com