Nume:TR/NSAnti.B.4
Descoperit pe data de:28/07/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:47.235 Bytes
MD5:6fa72cbba8f23eae2797557c704095e5
Versiune VDF:6.35.01.15 - Freitag, 28. Juli 2006
Versiune IVDF:6.35.01.15 - Freitag, 28. Juli 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Trojan.PWS.QQPass
   •  Kaspersky: Trojan-PSW.Win32.QQPass.jg
   •  TrendMicro: TSPY_QQPASS.QW
   •  Bitdefender: Trojan.NSAnti.B


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows ME


Efecte secundare:
   • Creeaza un fisier malware
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\SVOHOST.EXE



Sterge copia initiala a virusului.



Sterge urmatoarele fisiere:
   • %SYSDIR%\KAKATOOL.DLL
   • %SYSDIR%\DQHX.TXT



Este creat fisierul:

– %SYSDIR%\WINSCOK.DLL Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.QQPass.JG

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "SoundMam"="%SYSDIR%\SVOHOST.exe"



Valorile urmatoarelor chei sunt sterse din registrii sistemului:

–  HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • RavTask
   • KvMonXP
   • YLive.exe
   • yassistse
   • KAVPersonal50
   • NTdhcp
   • Winhoxt



Se adauga in registrii sistemului:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "hx-1"="%numar%"



Urmatoarea cheie din registri este modificata:

– HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\
   Folder\Hidden\SHOWALL
   Noua valoare:
   • "CheckedValue"="0"

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Ionut Slaveanu am Mittwoch, 9. August 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Montag, 28. August 2006

zurück . . . .