Nume:TR/PSW.Lmir.53381
Descoperit pe data de:31/08/2005
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:53.381 Bytes
MD5:377d336c659395f6faf9100b69eaa84a
Versiune VDF:6.31.1.54

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Sophos: Troj/LegMir-AV
   •  Bitdefender: Trojan.PSW.Lmir.A


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Efecte secundare:
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\logonuit.exe
   • %SYSDIR%\winl0gon.exe
   • %SYSDIR%\windows.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
   • "windows update"="%SYSDIR%\logonuit.exe"



Urmatoarele chei din registri sunt modificate:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Vechea valoare:
   • "Shell"=%setarile utilizatorului%
   Noua valoare:
   • "Shell"="Explorer.exe %SYSDIR%\windows.exe"

– HKCR\txtfile\shell\open\command
   Vechea valoare:
   • @=%setarile utilizatorului%
   Noua valoare:
   • @="%SYSDIR%\winl0gon.exe %1"

 Terminarea proceselor Lista cu procesele oprite:
   • Iparmor.exe
   • MAILMON.EXE
   • KAVPFW.EXE
   • PasswordGuard.exe

Procesele cu urmatoarele caracteristici sunt oprite:
    •  Titlu: Symantec AntiVirus     Numele clasei: KV2004
    •  Titlu: RavMon.exe     Numele clasei: RavMonClass
    •  Titlu: %combinatie de caractere aleatoare%     Numele clasei: Tapplication
    •  Titlu: %combinatie de caractere aleatoare%     Numele clasei: TForm1
    •  Titlu: %combinatie de caractere aleatoare%     Numele clasei: TfLockDownMain
    •  Titlu: %combinatie de caractere aleatoare%     Numele clasei: ZAFrameWnd
    •  Titlu: %combinatie de caractere aleatoare%     Numele clasei: KvXP_ExpertFrame
    •  Titlu: %combinatie de caractere aleatoare%     Numele clasei: WHXMDI0
    •  Titlu: RegEdit_RegEdit     Numele clasei: TKillqqv
    •  Titlu: %combinatie de caractere aleatoare%     Numele clasei: TfrmMain

 Furt de informatii Incearca sa obtina urmatoarele informatii:

– Parolele din urmatoarele programe:
   • Legend of Mir2
   • Legend of Mir3

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Die Beschreibung wurde erstellt von Irina Boldea am Mittwoch, 31. August 2005
Die Beschreibung wurde geändert von Irina Boldea am Donnerstag, 1. September 2005

zurück . . . .