Name:TR/NSAnti.B.7
Entdeckt am:29/07/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:42.102 Bytes
MD5 Prüfsumme:caf96db786db731ed89d4ec7a7596ea5
VDF Version:6.35.01.20
IVDF Version:6.35.01.20

 Allgemein    •  Symantec: Trojan.PWS.QQPass
   •  TrendMicro: TSPY_QQPASS.QM
   •  Bitdefender: Trojan.NSAnti.B


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows ME


Auswirkungen:
   • Erstellt eine Datei
   • Erstellt eine potentiell gefährliche Datei
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %PROGRAM FILES%\Internet Explorer\PLUGINS\system.jmp



Folgende Dateien werden gelöscht:
   • %WINDIR%\DESKTOP\WODEXIAOSHIHOUCHAONAORENXINGDESHIHOU
   • %WINDIR%\DESKTOP\WAIOZONGSHICHANGGEHONGWONAHSOUGEHAOXIANGZHEYANGCHANGDEWODEGUXIANGZAIYUANFANG
   • %WINDIR%\DESKTOP\TIANHEIHEITIOOTIANTIANDOUYAONIAIWODEXINSIYOUNICAIBUYAOWENWOCONGNALILAI
   • %WINDIR%\DESKTOP\NPKCRYPT.SYS



Es wird folgende Datei erstellt:

%PROGRAM FILES%\Internet Explorer\PLUGINS\system.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.QQRob.GD

 Registry – HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\
   ShellExecuteHooks
   • "{C9953583-932E-4EA1-A04B-4523AAB72C30}"=""



Folgender Registryschlüssel wird hinzugefügt:

– HKCR\CLSID\{C9953583-932E-4EA1-A04B-4523AAB72C30}\InProcServer32
   • "Default"="%PROGRAM FILES%\Internet Explorer\PLUGINS\system.sys"
   • "ThreadingModel"="Apartment"

 Hintertür Sende Informationen über:
    • Versteckte Passwörter

 Injektion –  Es injiziert folgende Datei in einen Prozess: %PROGRAM FILES%\Internet Explorer\PLUGINS\system.sys


– Es injiziert sich als einen Thread in einen Prozess.

    Prozessname:
   • %alle laufenden Prozesse%


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.

Die Beschreibung wurde erstellt von Bogdan Iliuta am Mittwoch, 9. August 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Montag, 14. August 2006

zurück . . . .