Troyen
Pgpcoder.A

TYPE :
Troyen

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Win32.Gpcode.B (Computer Associates)
Virus.Win32.Gpcode.b (KAV)
PGPcoder (Mc Afee)
Trj/PGPCoder.A (Panda Software)
Troj/Gpcode-B (Sophos)
Trojan.Gpcoder (Symantec)
TROJ_PGPCODER.A (Trend Micro)
Downloader-aag
W32/gopper.a

TAILLE :
56.832 octets

DECOUVERTE :
20/05/2005

DESCRIPTION DETAILLEE :
Pgpcoder.A est un troyen, c'est-à-dire un programme malicieux incapable de se multiplier et de se propager par lui-même, contrairement aux virus (la dépêche AFP du 01/06/05 annonçant un "nouveau virus rançonneur", basée sur un article du New Scientist, est en cela doublement erronée car il n'y a pas non plus de nouvelle version) . Il peut être installé sur l'ordinateur de sa victime via une page web piégée exploitant une faille de son navigateur ou via un programme douteux, téléchargé ou reçu en pièce jointe d'un spam.

Lorsqu'il est exécuté, Pgpcoder.A recherche les fichiers possédant une extension .asc, .db, .db1, .db2, .dbf, .doc, .htm, .html, .jpg, .pgp, .rar , .rtf, .txt, .xls ou.zip puis les crypte afin de rendre leur contenu illisible pour leur propriétaire légitime. Le troyen dépose ensuite dans chaque répertoire concerné un fichier texte ATTENTION!!!.TXT invitant l'utilisateur à payer 200$ via le service de paiement en ligne E-Gold afin d'acheter le programme permettant de décrypter les documents et donc de les récupérer :

Some files are coded.
To buy decoder mail: n781567@yahoo.com
with subject: PGPcoder 000000000032

Ce troyen semble davantage avoir été conçu comme preuve de faisabilité pour faire parler de lui dans les médias, plutôt que pour infecter un grand nombre d'utilisateurs. Un seul cas d'infection aurait été identifié. Une telle menace ne devrait d'ailleurs pas se développer à grande échelle, le règlement d'une multitude de petites sommes via un service de paiement en ligne facilitant l'identification de l'escroc et/ou autorisant la suspension rapide du compte utilisé afin d'empêcher ce dernier de récupérer les fonds extorqués.

Par contre, ce troyen pourrait créer un effet de mode : il n'est pas impossible que des troyens ou virus apparaissent avec comme charge active le cryptage des fichiers du disque de la victime plutôt que leur destruction pure et simple. Le fait de sauvegarder régulièrement ses fichier importants sur un support non habituellement accessible en écriture via l'ordinateur permet de se prémunir, outre contre les sinistres informatiques, contre de telles attaques.

INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus
-> Identifier les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des dizaines de messages infectés envahissent ma boîte aux lettres. Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ : une alerte m'indique qu'un virus a été trouvé dans un message que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus