HomePodejrzane pliki

ntos.exe (Virus.Win32.Gpcode.ai)

Tue, 11/11/2008 - 01:11 — glouver

Szkodnik ten szyfruje pliki znajdujące się na zaatakowanym komputerze. Ma postać pliku PE EXE (kompresja UPX, rozmiar po rozpakowaniu - 58 368 bajtów).

Plik wykonywalny znanych wariantów tego wirusa ma nazwę "ntos.exe".

Funkcje szkodnika:

Po uruchomieniu wirus tworzy unikatowy klucz szyfrowania i zapisuje go w rejestrze systemowym:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"WinCode" = "(klucz szyfrowania)"

Ponadto, szkodliwy program dodaje siebie do rejestru systemowego:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe"

Wartość klucza będzie okresowo sprawdzana przez procesy systemowe, do których został wstrzyknięty szkodliwy kod (np. "Winlogon.exe". Jeśli wartość klucza zostanie zmieniona (tj. jeśli "%System%\ntos.exe" zostanie usunięty), zostanie automatycznie przywrócona z procesu systemowego.

"%System%\ntos.exe" jest chroniony przed modyfikacją, zmianą nazwy oraz kopiowaniem.

Jeśli bieżąca data systemowa znajduje się w przedziale od 10 do 15 lipca 2007 r., wirus będzie szyfrował wszystkie pliki użytkownika z następującymi rozszerzeniami:

  • .12m
  • .3ds
  • .3dx
  • .4ge
  • .4gl
  • .7z
  • .a
  • .a86
  • .abc
  • .acd
  • .ace
  • .act
  • .ada
  • .adi
  • .aex
  • .af3
  • .afd
  • .ag4
  • .ai
  • .aif
  • .aifc
  • .aiff
  • .ain
  • .aio
  • .ais
  • .akf
  • .alv
  • .amp
  • .ans
  • .ap
  • .apa
  • .apo
  • .app
  • .arc
  • .arh
  • .arj
  • .arx
  • .asc
  • .asm
  • .ask
  • .au
  • .bak
  • .bas
  • .bb
  • .bcb
  • .bcp
  • .bdb
  • .bh
  • .bib
  • .bpr
  • .bsa
  • .btr
  • .bup
  • .bwb
  • .bz
  • .bz2
  • .c
  • .c86
  • .cac
  • .cbl
  • .cc
  • .cdb
  • .cdr
  • .cgi
  • .cmd
  • .cnt
  • .cob
  • .col
  • .cpp
  • .cpt
  • .crp
  • .cru
  • .csc
  • .css
  • .csv
  • .ctx
  • .cvs
  • .cwb
  • .cwk
  • .cxe
  • .cxx
  • .cyp
  • .d
  • .db
  • .db0
  • .db1
  • .db2
  • .db3
  • .db4
  • .dba
  • .dbb
  • .dbc
  • .dbd
  • .dbe
  • .dbf
  • .dbk
  • .dbm
  • .dbo
  • .dbq
  • .dbt
  • .dbx
  • .dfm
  • .djvu
  • .dic
  • .dif
  • .dm
  • .dmd
  • .doc
  • .dok
  • .dot
  • .dox
  • .dsc
  • .dwg
  • .dxf
  • .dxr
  • .eps
  • .exp
  • .f
  • .fas
  • .fax
  • .fdb
  • .fla
  • .flb
  • .frm
  • .fm
  • .fox
  • .frm
  • .frt
  • .frx
  • .fsl
  • .gtd
  • .gif
  • .gz
  • .gzip
  • .h
  • .ha
  • .hh
  • .hjt
  • .hog
  • .hpp
  • .htm
  • .html
  • .htx
  • .ice
  • .icf
  • .inc
  • .ish
  • .iso
  • .jar
  • .jad
  • .java
  • .jpg
  • .jpeg
  • .js
  • .jsp
  • .key
  • .kwm
  • .lst
  • .lwp
  • .lzh
  • .lzs
  • .lzw
  • .ma
  • .mak
  • .man
  • .maq
  • .mar
  • .mbx
  • .mdb
  • .mdf
  • .mid
  • .mo
  • .myd
  • .obj
  • .old
  • .p12
  • .pak
  • .pas
  • .pdf
  • .pem
  • .pfx
  • .php
  • .php3
  • .php4
  • .pgp
  • .pkr
  • .pl
  • .pm3
  • .pm4
  • .pm5
  • .pm6
  • .png
  • .ppt
  • .pps
  • .prf
  • .prx
  • .ps
  • .psd
  • .pst
  • .pw
  • .pwa
  • .pwl
  • .pwm
  • .pwp
  • .pxl
  • .py
  • .rar
  • .res
  • .rle
  • .rmr
  • .rnd
  • .rtf
  • .safe
  • .sar
  • .skr
  • .sln
  • .swf
  • .sql
  • .tar
  • .tbb
  • .tex
  • .tga
  • .tgz
  • .tif
  • .tiff
  • .txt
  • .vb
  • .vp
  • .wps
  • .xcr
  • .xls
  • .xml
  • .zip

Wirus umieszcza plik o nazwie "read_me.txt" w każdym folderze zawierającym zaszyfrowane pliki.

Plik zawiera następujący tekst:

Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).
You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us.
To decrypt your files you need to buy our software. The price is $300.
To buy our software please contact us at: xxxxx@xxxx.com and provide us your personal code -XXXXX. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system.
If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data.

Glamorous team

Tłumaczenie komunikatu wirusa:

Witaj, twoje pliki zostały zaszyfrowane przy użyciu algorytmu RSA-4096 (http://en.wikipedia.org/wiki/RSA).
Bez naszego oprogramowania odszyfrowanie tych plików zajmie ci przynajmniej kilka lat.
Od trzech miesięcy twoje poufne informacje były gromadzone i wysyłane do nas.
Aby odszyfrować swoje dane, musisz kupić nasze oprogramowanie. Jego cena to $300.
W celu dokonania zakupu skontaktuj się z nami pod adresem xxxxxxx@xxxxx.com* i załącz swój osobisty kod - xxxxxxxxx*.
Po dokonaniu zakupu, prześlemy ci narzędzie deszyfrujące a twoje poufne informacje zostaną skasowane z naszego systemu.
Jeżeli nie skontaktujesz się z nami do 15 lipca 2007 twoje poufne informacje zostaną udostępnione w Internecie.

Glamorous team

*Adres e-mail oraz osobisty kod zostały celowo zamazane.

Wirus tworzy również ukryty folder o nazwie "wsnpoem" w folderze systemu Windows zawierający dwa puste pliki: "video.dll" and "audio.dll".

Usuwanie szkodnika z zainfekowanego systemu:

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Zmodyfikuj wartość klucza rejestru systemowego poprzez dodanie symbolu na koniec nazwy szkodliwego modułu:

    2. Przykład:
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "UserInit" = "%System%\userinit.exe, %System%\ntos.exe_"

  2. Uruchom ponownie swój komputer.
  3. Usuń ręcznie poniższe pliki z foldera systemu Windows:
    • ntos.exe
  4. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera

Sprawdzone, działa.

Link:http://www.wiruspc.pl