Thông tin v virus Gpcode.ak
Chi tiết kỹ thuật
Chương trình mã độc Gpcode.ak này sẽ mã hóa các file trên máy tính b
nhiễm độc. Đây là một file Windows PE EXE với kích thước 8030 byte.
Cách thức hoạt động
Khi được khởi chạy, virus này sẽ tạo một mutex dưới đây trong bộ nhớ để
đánh dấu sự hiện diện của nó trong hệ thống: _G_P_C_. (Mutex là một cờ lập
trình vẫn được sử dụng để lấy và phát hành mt đối tượng).
Sau đó sẽ bắt đầu quét liên tục tất cả đĩa logic để mã hóa các file trong đó.
Mã hóa tất cả file của người dùng bằng các đuôi mở rộng được liệt kê trong
bảng dưới đây:
7z abk abd acad
arh arj ace arx
asm bz bz2 bak
bcb c cc cdb
cdw cdr cer cgi
chm cnt cpp css
csv db db1 db2
db3 db4 dba dbb
dbc dbd dbe dbf
dbt dbm dbo dbq
dbx Djvu doc dok
dpr dwg dxf ebd
eml eni ert fax
flb frm frt frx
frg gtd gz gzip
gfa gfr gfd h
inc igs iges jar
jad Java jpg jpeg
Jfif jpe js jsp
hpp htm html key
kwm Ldif lst lsp
lzh lzw ldr man
mdb mht mmf mns
mnb mnu mo msb
msg mxl old p12
pak pas pdf pem
pfx php php3 php4
pl prf pgp prx
pst pw pwa pwl
pwm pm3 pm4 pm5
pm6 rar rmr rnd
rtf Safe sar sig
sql tar tbb tbk
tdf tgz txt uue
vb vcf wab xls
xml
Virus này sử dụng Microsoft Enhanced Cryptographic Provider v1.0 (có
trong Windows) để mã hóa các file. Các file được mã hóa bằng thuật toán
RC4. Khóa mã hóa sau đó sẽ được mã hóa bằng một ka RSA public có độ
dài 1024 bit nằm trong phần thân ca virus.
Thuật toán mã hóa RSA chia các khóa mã hóa thành hai kiểu public và
private. Chỉ có các khóa public được cần thiết để mã hóa các thông báo. Một
thông báo b mã a chỉ có thể được giải mã bằng khóa private.
Virus sẽ tạo một copy mã hóa cho mỗi một file gốc. Copy mã hóa sẽ giữ lại
tên file gốc với phần _CRYPT được thêm vào cuối của tên file. Ví dụ:
WaterLilles.jpg —file gốc
WaterLilles.jpg._CRYPT —file mã hóa
File gc sau đó sẽ bị xóa.
Virus để lại một file có tên "!_READ_ME_!.txt" trong mỗi thư mục có chứa
các file đã mã hóa. File này gm có những nội dung sau: