Name:TR/PSW.QQSniff
Entdeckt am:14/02/2007
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:663.552 Bytes
MD5 Prüfsumme:942f3e57afa5bbc09649fb79db8585d7
VDF Version:6.37.01.91
IVDF Version:6.37.01.92 - Mittwoch, 14. Februar 2007

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Stiehlt Informationen

 Dateien Es wird folgende Datei erstellt:

– Nicht virulente Datei:
   • %Wurzelverzeichnis des Systemlaufwerks%\qqpass.txt

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "testwk1"="%Verzeichnis in dem die Malware ausgeführt wurde%\%malware filename%"



Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\CLSID\{A5CA0D8F-FC23-B555-3B71-40973B714097}\InprocServer32]
   • "(Default)"="ole32.dll"

– [HKCR\CLSID\{A5CA0D8F-FC23-B555-3B71-40973B714097}]
   • "(Default)"="PointerMoniker"

– [HKLM\Software\Licenses]
   • "{0641C1F5CF28E8696}"=%Hex Werte%
   • "{I641C1F5CF28E8696}"=%Hex Werte%
   • "{K7C0DB872A3F777C0}"=%Hex Werte%
   • "{R7C0DB872A3F777C0}"=%Hex Werte%

 Diebstahl Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • Armadillo

Die Beschreibung wurde erstellt von Gabriel Mustata am Mittwoch, 14. Februar 2007
Die Beschreibung wurde geändert von Andrei Ivanes am Mittwoch, 28. Februar 2007

zurück . . . .