Nume:TR/PSW.OnLineGames.O
Descoperit pe data de:02/10/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:62.529 Bytes
MD5:a50C61d13927cf87705727193010f40A
Versiune VDF:6.36.00.73
Versiune IVDF:6.36.00.88 - Dienstag, 10. Oktober 2006

 General Alias:
   •  Kaspersky: Trojan-PSW.Win32.OnLineGames.o
   •  TrendMicro: TSPY_LINEAGE.BNY
   •  Sophos: Troj/Lineag-DIP


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efecte secundare:
   • Creeaza un fisier malware
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\newFiles.exe



Este creat fisierul:

– %SYSDIR%\winewfile.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.OnLineGames.D

 Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– HKCR\CLSID\{B91C5CD8-78E0-4D29-BC75-6D9E075D6763}
   • @="FIVEHOOK"

– KEY_CLASSES_ROOT\CLSID\{B91C5CD8-78E0-4D29-BC75-6D9E075D6763}\
   InProcServer32
   • @="%SYSDIR%\winewfile.dll"
   • "ThreadingModel"="Apartment"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks
   • "{B91C5CD8-78E0-4D29-BC75-6D9E075D6763}"=""

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\winewfile.dll

    Numele procesului:
   • %toate procesele pornite dupa ce virusul este activ in memorie%

   Daca operatiunea se termina cu succes, malware-ul se opreste din executie, iar componenta injectata ramane activa.

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • TFMHRExeMutex

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Bogdan Iliuta am Freitag, 20. Oktober 2006
Die Beschreibung wurde geändert von Bogdan Iliuta am Freitag, 27. Oktober 2006

zurück . . . .