Name:TR/PSW.Gamania.CC.2
Entdeckt am:20/03/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:62.364 Bytes
MD5 Prüfsumme:6744e194e537523b9aceaad66236614e
VDF Version:6.33.01.12

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: PWS-Lineage
   •  Bitdefender: Trojan.PSW.Gamania.CC


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Erstellt eine potentiell gefährliche Datei
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\Kerne0110.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

– c:\log.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %gestohlene Infromation%

%Verzeichnis in dem die Malware ausgeführt wurde%\gg.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.
%SYSDIR%\microsoftie0110.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Drop.PSW.Gama.CC

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%SYSDIR%\Kerne0110.exe"

 Diebstahl Es wird versucht folgende Information zu klauen:

– Das Passwort des Programmes:
   • Lineage

– Nachdem eine Webseite besucht wurde dessen URL eine der folgenden Substings enthält, wird eine Protokollfunktion gestartet:
   • http://club.pchome.com.tw
   • http://gash.gamania.com
   • http://tw.gamania.com
   • https://tw.gash.gamania.com
   • http://tw.gashcard.gamania.com
   • https://tw.goodlock.gamania.com
   • http://tw.login.yahoo.com
   • https://tw.event.gamania.com
   • https://tw.reg.yahoo.com
   • http://www.gamania.com

– Aufgezeichnet wird:
    • Anmeldeinformation

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.

Die Beschreibung wurde erstellt von Iulia Diaconescu am Montag, 20. März 2006
Die Beschreibung wurde geändert von Iulia Diaconescu am Montag, 20. März 2006

zurück . . . .