Megfejtették az Archiveus néven ismert titkosító vírus jelszavát

Az Archiveus trójai a Dokumentumok mappában lévő fájlokat két olyan állományba tömöríti össze, amelyeket jelszóval véd le. Ezt követően pénzt kér a jelszó megadásáért.

Az Archiveus trójai meglehetősen komoly kellemetlenséget tud szerezni a felhasználóknak, ugyanis a “Dokumentumok” mappában szereplő állományokat két jelszóval védett fájlba tömöríti össze. Ezt követően a könyvtárban szereplő összes fájlt letörli. Amikor a felhasználó meg szeretné nyitni a trójai által létrehozott fájlokat, akkor egy jelszóbekérő üzenetablak jelenik meg. A trójai a jelszó megadását egy weboldal meglátogatásához, illetve egy azon szereplő termék megvásárlásához köti.

Amikor az Archiveus trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő kulcsot a regisztrációs adatbázisban: HKEY_CLASSES_ROOT\ALS

2. Megkeresi a felhasználó “Dokumentumok” könyvtárában található fájljait. Azokat két jelszóval védett állományba tömöríti össze, majd az eredeti fájlokat eltávolítja. Az új állományok nevei a következők:

%UserProfile%\My Documents\Demo.als
%UserProfile%\My Documents\EncryptedFiles.als

3. Amennyiben a felhasználó a fenti fájlok valamelyikére kattint, akkor egy jelszóbekérő ablak jelenik meg.

4. Létrehozza a következő szöveges állományt: %UserProfile%\My Documents\INSTRUCTIONS HOW TO GET YOUR FILES BACK.txt

Ez a fájl tartalmazza a jelszóhoz jutás lehetőségeit.

Az interneten május 6-a óta keringő — Visual Basic 6.0 programozói nyelvben írodott — vírus szinte az összes létező Windows operációs rendszeren veszélyt jelenthet (95/98/ME/NT/2000/XP/2003), mely ellen védelmet nyújt az antivírus termékek adatbázisának frissítése. Szerencsére sikerült feltörni a kártékony programot, így az általa kért jelszót is megfejtették, mely a következő: “mf2lro8sw03ufvnsq034jfowr18f3cszc20vmw“.