Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Virus.Win32.Gpcode.ai

Szkodnik ten szyfruje pliki znajdujące się na zaatakowanym komputerze. Ma postać pliku PE EXE (kompresja UPX, rozmiar po rozpakowaniu - 58 368 bajtów).

Plik wykonywalny znanych wariantów tego wirusa ma nazwę "ntos.exe".

Funkcje szkodnika

Po uruchomieniu wirus tworzy unikatowy klucz szyfrowania i zapisuje go w rejestrze systemowym:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"WinCode" = "(klucz szyfrowania)"

Ponadto, szkodliwy program dodaje siebie do rejestru systemowego:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe"

Wartość klucza będzie okresowo sprawdzana przez procesy systemowe, do których został wstrzyknięty szkodliwy kod (np. "Winlogon.exe". Jeśli wartość klucza zostanie zmieniona (tj. jeśli "%System%\ntos.exe" zostanie usunięty), zostanie automatycznie przywrócona z procesu systemowego.

"%System%\ntos.exe" jest chroniony przed modyfikacją, zmianą nazwy oraz kopiowaniem.

Jeśli bieżąca data systemowa znajduje się w przedziale od 10 do 15 lipca 2007 r., wirus będzie szyfrował wszystkie pliki użytkownika z następującymi rozszerzeniami:

.12m
.3ds
.3dx
.4ge
.4gl
.7z 
.a
.a86
.abc
.acd 
.ace
.act
.ada
.adi
.aex
.af3
.afd
.ag4
.ai
.aif
.aifc
.aiff 
.ain  
.aio  
.ais  
.akf  
.alv  
.amp  
.ans 
.ap 
.apa  
.apo  
.app  
.arc  
.arh  
.arj  
.arx  
.asc  
.asm  
.ask  
.au   
.bak  
.bas  
.bb   
.bcb  
.bcp  
.bdb  
.bh   
.bib  
.bpr  
.bsa  
.btr 
.bup  
.bwb  
.bz   
.bz2  
.c   
.c86  
.cac  
.cbl  
.cc   
.cdb  
.cdr  
.cgi  
.cmd  
.cnt  
.cob  
.col  
.cpp  
.cpt  
.crp  
.cru  
.csc  
.css  
.csv 
.ctx  
.cvs  
.cwb  
.cwk  
.cxe  
.cxx  
.cyp  
.d    
.db  
.db0  
.db1  
.db2  
.db3  
.db4  
.dba  
.dbb  
.dbc  
.dbd 
.dbe  
.dbf  
.dbk  
.dbm  
.dbo  
.dbq  
.dbt  
.dbx  
.dfm  
.djvu 
.dic  
.dif  
.dm   
.dmd  
.doc  
.dok  
.dot 
.dox  
.dsc  
.dwg  
.dxf  
.dxr
.eps  
.exp  
.f    
.fas  
.fax  
.fdb  
.fla  
.flb  
.frm  
.fm   
.fox  
.frm  
.frt  
.frx  
.fsl  
.gtd  
.gif 
 .gz   
.gzip 
.h    
.ha   
.hh   
.hjt  
.hog  
.hpp  
.htm  
.html 
.htx  
.ice  
.icf  
.inc  
.ish  
.iso  
.jar  
.jad 
.java 
.jpg  
.jpeg 
.js   
.jsp  
.key  
.kwm  
.lst 
.lwp  
.lzh  
.lzs  
.lzw  
.ma   
.mak  
.man  
.maq  
.mar  
.mbx  
.mdb 
.mdf  
.mid  
.mo   
.myd  
.obj  
.old  
.p12  
.pak  
.pas  
.pdf  
.pem  
.pfx  
.php  
.php3 
.php4 
.pgp  
.pkr  
.pl   
.pm3  
.pm4  
.pm5 
.pm6 
.png  
.ppt  
.pps  
.prf  
.prx  
.ps   
.psd  
.pst  
.pw   
.pwa  
.pwl  
.pwm  
.pwp  
.pxl  
.py   
.rar
.res
.rle
.rmr
.rnd
.rtf
.safe
.sar
.skr
.sln
.swf
.sql
.tar
.tbb
.tex
.tga
.tgz
.tif  
.tiff
.txt
.vb
.vp 
.wps
.xcr
.xls
.xml
.zip

Wirus umieszcza plik o nazwie "read_me.txt" w każdym folderze zawierającym zaszyfrowane pliki. Plik zawiera następujący tekst:

Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).

You will need at least few years to decrypt these files without our software. All your 
private information for last 3 months were collected and sent to us.

To decrypt your files you need to buy our software. The price is $300.

To buy our software please contact us at: xxxxx@xxxx.com and provide us your personal 
code -XXXXX. After successful purchase we will send your decrypting tool, and your 
private information will be deleted from our system.

If you will not contact us until 07/15/2007 your private information will be shared and 
you will lost all your data.
 
Glamorous team

Tłumaczenie komunikatu wirusa:

Witaj, twoje pliki zostały zaszyfrowane przy użyciu algorytmu RSA-4096 
(http://en.wikipedia.org/wiki/RSA). 

Bez naszego oprogramowania odszyfrowanie tych plików zajmie ci przynajmniej
kilka lat. Od trzech miesięcy twoje poufne informacje były gromadzone i wysyłane do nas. 

Aby odszyfrować swoje dane, musisz kupić nasze oprogramowanie. Jego cena to $300.

W celu dokonania zakupu skontaktuj się z nami pod adresem xxxxxxx@xxxxx.com
i załącz swój osobisty kod - xxxxxxxxx. Po dokonaniu zakupu, prześlemy ci narzędzie
deszyfrujące a twoje poufne informacje zostaną skasowane z naszego systemu. 

Jeżeli nie skontaktujesz się z nami do 15 lipca 2007 twoje poufne informacje 
zostaną udostępnione w Internecie. 

Glamorous team

Adres e-mail oraz osobisty kod zostały celowo zamazane.

Wirus tworzy również ukryty folder o nazwie "wsnpoem" w folderze systemu Windows zawierający dwa puste pliki: "video.dll" and "audio.dll".

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Zmodyfikuj wartość klucza rejestru systemowego poprzez dodanie symbolu na koniec nazwy szkodliwego modułu: Przykład:

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "UserInit" = "%System%\userinit.exe, %System%\ntos.exe_"

  2. Uruchom ponownie swój komputer.
  3. Usuń ręcznie poniższe pliki z foldera systemu Windows:
    ntos.exe
    
  4. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).