Nume:TR/PSW.Lineage.VD
Descoperit pe data de:17/07/2006
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:26.627 Bytes
MD5:29e1dd7658d7c337fab08beb8343a81b
Versiune VDF:6.33.01.45
Versiune IVDF:6.33.01.46 - Donnerstag, 2. März 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Infostealer.Lineage
   •  TrendMicro: TSPY_LINEAGE.AQZ
   •  Bitdefender: Dropped:Trojan.Pws.Lineage.ZT


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier malware
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\Config\svhost32.exe



Este creat fisierul:

– %SYSDIR%\fzgdll.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.Lineage.ZT.1

 Registrii sistemului –  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "fzg"="%WINDIR%\Config\svhost32.exe"

 Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:


De la:
Expeditorul email-ului este urmatorul:
   • vip@microsoft.com

 Furt de informatii Incearca sa obtina urmatoarele informatii:

– Parola din programul:
   • Lineage

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\fzgdll.dll

    Urmatoarele procese:
   • explorer.exe
   • %procese care au ferestre vizibile%


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Monica Ghitun am Montag, 17. Juli 2006
Die Beschreibung wurde geändert von Monica Ghitun am Montag, 7. August 2006

zurück . . . .