Pgpcoder.a est un programme malicieux de type
cheval de Troie. Lorsqu'il est exécuté, ce troyen crypte certains
documents présents sur le disque dur de sa victime puis
dépose dans chaque répertoire un fichier texte
invitant l'utilisateur à payer 200$ pour pouvoir les
décrypter et donc les récupérer.
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
d'Internet Explorer doivent aussi mettre à jour
leur navigateur via le service WindowsUpdate
(en français) afin de corriger la faille éventuellement
exploitée par le cheval de Troie pour s'exécuter
automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le troyen.
Les utilisateurs ne disposant pas d'un antivirus peuvent
utiliser gratuitement l'antivirus
gratuit en ligne pour rechercher et éliminer
le troyen. L'utilitaire
Restore_GpcodeB est par ailleurs disponible pour
décrypter gratuitement les fichiers éventuellement
cryptés par le troyen.
|
TYPE :
Troyen
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Win32.Gpcode.B (Computer Associates)
Virus.Win32.Gpcode.b (KAV)
PGPcoder (Mc Afee)
Trj/PGPCoder.A (Panda Software)
Troj/Gpcode-B (Sophos)
Trojan.Gpcoder (Symantec)
TROJ_PGPCODER.A (Trend Micro)
Downloader-aag
W32/gopper.a
TAILLE :
56.832 octets
DECOUVERTE :
20/05/2005
DESCRIPTION DETAILLEE :
Pgpcoder.A est un troyen, c'est-à-dire un programme malicieux
incapable de se multiplier et de se propager par lui-même,
contrairement aux virus (la dépêche AFP du 01/06/05
annonçant un "nouveau virus rançonneur",
basée sur un article du New Scientist, est en cela
doublement erronée car il n'y a pas non plus de nouvelle
version) . Il peut être installé sur l'ordinateur de sa victime
via une page web piégée exploitant une faille
de son navigateur ou via un programme douteux, téléchargé
ou reçu en pièce jointe d'un spam.
Lorsqu'il est exécuté, Pgpcoder.A recherche les fichiers
possédant une extension .asc, .db, .db1, .db2, .dbf,
.doc, .htm, .html, .jpg, .pgp, .rar , .rtf, .txt, .xls ou.zip
puis les crypte afin de rendre leur contenu illisible pour
leur propriétaire légitime. Le troyen dépose
ensuite dans chaque répertoire concerné un fichier
texte ATTENTION!!!.TXT invitant l'utilisateur à payer
200$ via le service de paiement en ligne E-Gold afin d'acheter
le programme permettant de décrypter les documents
et donc de les récupérer :
Some files are coded.
To buy decoder mail: n781567@yahoo.com
with subject: PGPcoder 000000000032
Ce troyen semble davantage avoir été conçu
comme preuve de faisabilité pour faire parler de lui
dans les médias, plutôt que pour infecter un
grand nombre d'utilisateurs. Un seul cas d'infection aurait
été identifié. Une telle menace ne devrait
d'ailleurs pas se développer à grande échelle,
le règlement d'une multitude de petites sommes via
un service de paiement en ligne facilitant l'identification
de l'escroc et/ou autorisant la suspension rapide du compte
utilisé afin d'empêcher ce dernier de récupérer
les fonds extorqués.
Par contre, ce troyen pourrait créer un effet de mode
: il n'est pas impossible que des troyens ou virus apparaissent
avec comme charge active le cryptage des fichiers du disque
de la victime plutôt que leur destruction pure et simple.
Le fait de sauvegarder régulièrement ses fichier
importants sur un support non habituellement accessible en
écriture via l'ordinateur permet de se prémunir,
outre contre les sinistres informatiques, contre de telles
attaques.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|