Nume:TR/Spy.148529
Descoperit pe data de:18/04/2010
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:148.529 Bytes
MD5:559f2d704f414c2848269f16f00f8cfa
Versiune IVDF:7.10.06.116 - Sonntag, 18. April 2010

 General Alias:
   •  Sophos: Mal/EncPk-OD
   •  Bitdefender: Trojan.PWS.OnlineGames.KDKZ
   •  Panda: Trj/Gamania.MT
   •  Eset: Win32/PSW.Lineage.NIJ


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\xmloder.exe



Sterge copia initiala a virusului.



Sterge urmatorul fisier:
   • %TEMPDIR%\bkhtgsf.reg



Sunt create fisierele:

– %TEMPDIR%\bkhtgsf.reg Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %TEMPDIR%\gfgll.bat
– %WINDIR%\Debug\xmlDown.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Meredrop.A.11155




Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • cmd /c %TEMPDIR%\gfgll.bat


– Numele fisierului:
   • regedit /s %TEMPDIR%\bkhtgsf.reg


– Numele fisierului:
   • cmd /c erase /F %fisier executat%

 Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{42C50607-D944-41A9-9B67-720AFBE8C22C}"=""

– [HKLM\SOFTWARE\Classes\CLSID\{42C50607-D944-41A9-9B67-720AFBE8C22C}\
   InProcServer32]
   • "@"="%WINDIR%\Debug\xmlDown.dll"
   • "ThreadingModel"="Apartment"

– [HKLM\SOFTWARE\Classes\CLSID\
   {42C50607-D944-41A9-9B67-720AFBE8C22C}]
   • "@"="url"

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %WINDIR%\Debug\xmlDown.dll

    Numele procesului:
   • explorer.exe


 Alte informatii Sir de caractere:
In plus, mai contine urmatoarele siruri de caractere:
   • https://tw.gash.gamania.com/UpdateServiceAccountPassword.aspx?ServiceCode=600035
   • http://tw.gashcard.gamania.com/space.htm
   • https://tw.gash.gamania.com/UpdateMainAccountPassword.aspx
   • https://tw.beanfun.gamania.com/unlock_login/step2.aspx?d=
   • http://tw.mabinogi.gamania.com/Net2.0/Home/Default.aspx
   • http://tw.maplestory.gamania.com/Default.aspx
   • http://tw.gashcard.gamania.com/space.htm
   • https://tw.gash.gamania.com/GASHLogin.aspx
   • http://tw.gamania.com/GHOME/Home_Center.ASP

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 26. August 2010
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 26. August 2010

zurück . . . .