Gpix

Gpix, troyano/adware, borra todos los cookies, se conecta a sitios web pornográficos y muestra publicidad.

Troj/Adware/Gpix

Gpix es un troyano y Adware reportado el 12 de Abril del 2003, que ingresa a los sistemas via HTTP de diversos sitios web visitados por los usuarios, borra los cookies existentes, se conecta a sitios pornográficos y muestra publicidad de contenido para adultos.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, tiene 494 KB de extensión, está desarrollado en Borland Delphi y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Una vez ingresado al sistema, el troyano se autocopia a la carpeta %System% con el nombre shellexpl.exe y para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer" = %System%\shellexpl.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Una vez activado el troyano, muestra la siguiente caja de diálogo con un falso mensaje de error:

Luego borra todos los cookies de las carpetas correspondientes y revisa los nuevos cookies que se generen en forma posterior, que contengan una de las siguientes cadenas:

amateur
anal
babes
bbw
bdsm
blowjob
bondage
celeb
chubby
cumshot
ebony
facial
fat
fetish
ffm
gangbang
grann
groupsex
hairy
hardcore
incest
interracial
lesb
lingerie
lolita
mature
midget
milf
mmf
older
orgy
pant
pee
piss
plump
preg
teens
teeny
virgin
voyeur
watersport
wive

Cada vez que se genere un cookie con una de estas cadenas de texto, el sistema se conectará a un sitio web de contenido pornográfico y le será mostrada una publicidad relacionada. Para lograr este propósito el troyano previamente libera 2 archivos de configuración, en la carpeta %System%:

hndldt.ini
winhndl.ini

Los cuales contienen las cadenas de texto y direcciones IP de los sitios web a los cuales se conectarán los sistemas infectados, a través del Internet Explorer.

Los payloads de este troyano/adware son los siguientes:

Ingresa vía HTTP a los sistemas que visitan sitios web pornográficos.
Borra los cookies, que por lo general tiene la extensión .txt de las carpetas correspondientes.
Libera 2 archivos que contienen una lista de cadenas de texto que serán asociadas a nuevos cookies descargados de páginas web y otro con direcciones IP cifradas, relacionadas a sitios web para adultos.
Cada vez que se descargue un nuevo cookie, que tenga una palabra asociada a cualquiera de la lista, el sistema se conectará a un sitio pornográfico, a través del navegador Internet Explorer.
Finalmente mostrará una publicidad pornográfica en forma consecutiva.

PER ANTIVIRUS® versión 8.0 con registro de virus al 12 de Abril del 2003 detecta y elimina eficientemente este troyano/adware.