Opmerkelijk afpersingsvirus ziet het licht

Eigen bestanden kunnen bekijken? Betalen!

24 mei 2005 | Lars Pasveer Een nieuw virus, dat nog niet wijdverbreid is, valt vooral op zijn modus operandi: ongegeneerde afpersing. Het trojaanse paard PGCoder verspreidt zich via een lek in Internet Explorer, waartegen al geruime tijd een pleister bestaat.

Het is daarom belangrijk alle patches die Microsoft aanbiedt zo snel mogelijk aan te brengen. De huidige vorm van deze trojan kan niet inbreken via andere browsermerken.

Het opmerkelijkste aan PGCoder is de wijze waarop het bestanden infecteert. De trojan versleutelt een uitgebreide reeks aan bestanden, waaronder foto's, documenten, gecomprimeerde bestanden en html-code. De volledige lijst van bestanden die het virus codeert, vindt u in beschrijvingen als die van Symantec.

In de directories waar deze versleuteling plaatsvindt zet het virus een tekstbestandje neer met de volgende inhoud:

Some files are coded.
To buy decoder mail: n781567@yahoo.com
with subject: PGPcoder 000000000032

De programmeur probeert de onfortuinlijke ontvanger en uitvoerder van het virus dus simpelweg geld afhandig te maken. Het is een opmerkelijk brutale en - toegeven - innovatieve nieuwe manier om virussen te exploiteren.

PGCode wordt inmiddels door de meeste antivirusbedrijven herkend; het is dus zaak de virusscanner zo snel mogelijk van de nieuwste virusdefinities te voorzien. Antivirusfirma's hebben het trojaanse paard overigens nog niet vaak 'in het wild' aangetroffen. Desondanks telt een gewaarschuwd mens voor twee. Lees meer artikels over : virus, antivirus, symantec, pgcoder, versleuteling

bron: ZDNet