A Pgpcoder trójai különböző kiterjesztésű fájlokat titkosít, majd egy olyan dekódoló program megvásárlását ajánlja fel, amellyel a titkosított állományok visszafejthetők.
A Pgpcoder a fertőzés után azonnal megkeresi a számára ideális kiterjesztésű állományokat. Ezeket a trójai letitkosítja, majd az eredeti fájlokat letörli. Így tulajdonképpen állományokat tesz használhatatlanná. A Pgpcoder a számítógépen több szöveges fájlt is létrehoz, amelyben egy dekódoló program megvásárlására hívja fel a figyelmet.
A Pgpcoder további ismert nevei: Virus.Win32.Gpcode.b [Kaspersky Lab], PGPcoder [McAfee], TROJ_PGPCODER.A [Trend Micro].
Amikor a Pgpcoder elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehoz egy "encoder_v1.0" nevű mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszerben.
2. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run
kulcsához hozzáadja a
"services" = "[a trójai elérési útvonala]" értéket.
3. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Sysinf
kulcsához hozzáadja a
"cur_not_done" = "[hexadecimális érték]" értéket.
4. Megkeresi a számítógépeken az alábbi kiterjesztésű fájlokat:
.asc
.db
.db1
.db2
.dbf
.doc
.htm
.html
.jpg
.pgp
.rar
.rtf
.txt
.xls
.zip
5. A fenti kiterjesztésű állományokat letitkosítja.
6. Létrehoz egy szöveges fájlt minden olyan könyvtárba, ahol titkosított fájlokat. Ez az állomány a következő szöveget tartalmazza:
Some files are coded.
To buy decoder mail: [user]@yahoo.com
with subject: PGPcoder 000000000032
7. Amikor minden lehetséges állományt tikosított, akkor létrehoz egy "tmp.bat" nevű fájlt a C meghajtó gyökér könyvtárába. Ennek segítségével eltávolítja magát a rendszerből.
Forrás : Biztonságportál