2 września 2002

Trojan.Win32.Filecoder - szyfruje i zmienia nazwy plików

Jest to koń trojański szyfrujący i zmieniający nazwy plików zapisanych w podkatalogach lokalnych twardych dysków oraz napędów sieciowych. Został stworzony przy pomocy środowiska programistycznego Delphi, a jego rozmiar to 137 KB. Trojan rozprzestrzenia się poprzez pocztę elektroniczną, pod postacią użytecznego narzędzia.

Instalacja

Trojan kopiuje się do folderu systemowego Windows z nazwą NTFS.exe i tworzy następujący klucz w rejestrze systemowym:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run] "FsystemTracer"="C:\\WINDOWS\\system\\NTFS.exe"

Następnie szkodnik uruchamia utworzoną kopię.

Funkcje dodatkowe

Trojan modyfikuje pliki EXE zapisane we wszystkich katalogach (z wyłaczeniem folderu Windows) zmieniając ich nazwy, po czym tworzy własną kopię pod oryginalną nazwą atakowanego pliku:

"EXEADDED" + stara nazwa pliku

W przypadku pozostałych plików trojan stosuje mechanizm szyfrujący oraz zmieniający nazwy. Jeżeli atakowany plik jest już zakodowany szkodnik może jedynie zmienić jego nazwę:

"FILEISENCODED" + stara nazwa pliku

Dodatkowo trojan tworzy 50 plików posiadających uszkodzone nazwy. Pliki te zawierają komunikaty zapisane w języku rosyjskim.