Nume:TR/NSAnti.B.9
Descoperit pe data de:01/08/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:28.816 Bytes
MD5:051c235f29cb1d2d0Ebc499df81e83e9
Versiune VDF:6.35.01.29 - Dienstag, 1. August 2006
Versiune IVDF:6.35.01.29 - Dienstag, 1. August 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Infostealer.Lineage
   •  Kaspersky: Trojan-PSW.Win32.QQPass.hd
   •  Bitdefender: Trojan.NSAnti.B


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier
   • Creeaza un fisier malware
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\SVCH0ST.EXE



Sunt create fisierele:

– %SYSDIR%\mmdat.dat Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %directorul de activare malware%\%fisier executat%

– %SYSDIR%\ntdll32.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Spy.Agent.ct.4.A

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
   • "SVCHOST"="%SYSDIR%\SVCH0ST.EXE"



Se adauga in registrii sistemului:

– HKCR\exefile\shell\open\command
   • "(Default)"="%SYSDIR%\SVCH0ST.EXE %1 %*"

 Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:


De la:
Adresa este falsificata.
Expeditorul email-ului este urmatorul:
   • 96262@96262.net <96262@96262.net>


Catre:
Destinatarul mesajului este:
   • 665951@QQ.com <665951@QQ.com>


Subiect:
Urmatorul:
   • %combinatie de caractere aleatoare%



Corpul email-ului:

   • %informatiile sustrase%



Email-ul arata astfel:


 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare

– Face captura la:
    • Informatii legate de fereastra

 Alte informatii Creeaza urmatorii mutecsi:
   • "MimaThief"
   • "MMSHARED"

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Marius T. Nicolae am Mittwoch, 9. August 2006
Die Beschreibung wurde geändert von Marius T. Nicolae am Mittwoch, 23. August 2006

zurück . . . .