Name:TR/PSW.WOW.PQ.1
Entdeckt am:19/02/2007
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:19.717 Bytes
MD5 Prüfsumme:2e216d6f39d7a805b6fa02e51c967c4b
VDF Version:6.37.01.112
IVDF Version:6.37.01.113 - Montag, 19. Februar 2007

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %TEMPDIR%\svchots.exe



Es werden folgende Dateien erstellt:

%TEMPDIR%\She1132.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.WOW.PQ

%TEMPDIR%\~Tm94.tmp.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Smal.dp.1.D

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Winlogin"="%TEMPDIR%\svchots.exe"

 Diebstahl Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter

– Das Passwort des Programmes:
   • wow.exe

 Injektion –  Es injiziert folgende Datei in einen Prozess: %temp%\She1132.dll


– Es injiziert eine Prozess-Überwachungs-Routine in einen Prozess.

    Prozessname:
   • %alle laufenden Prozesse%



–  Es injiziert folgende Datei in einen Prozess: %temp%\~Tm94.tmp.dll


– Es injiziert eine Prozess-Überwachungs-Routine in einen Prozess.

    Prozessname:
   • %alle laufenden Prozesse%


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • WinUpack

Die Beschreibung wurde erstellt von Gabriel Mustata am Dienstag, 20. Februar 2007
Die Beschreibung wurde geändert von Andrei Ivanes am Donnerstag, 1. März 2007

zurück . . . .