TR/Thief.Wow.dom - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Thief.Wow.dom
Entdeckt am:	19/12/2008
Art:	Trojan
Nebenart:	Thief
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	102.400 Bytes
MD5 Prüfsumme:	9116885e7eb017b5499471e79b1702d0
IVDF Version:	7.01.01.08 - Fri, 19 Dec 2008 09:11 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-GameThief.Win32.WOW.dom
   • F-Secure: Trojan-GameThief.Win32.WOW.dom
   • Sophos: Mal/GamePSW-C
   • Grisoft: PSW.OnlineGames.BJQU
   • Eset: Win32/PSW.WOW.DON trojan

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Stiehlt Informationen

Prozess Beendigung Liste der Prozesse die beendet werden:
   • ravmon.exe; kavpfw.exe; sphinx.exe; ccapp.exe; pfw.exe; vsmon.exe;
      avguard.exe; avconsol.exe; ashdisp.exe; vsserv.exe; navapsvc.exe;
      kvwsc.exe; ravmond.exe; kav32.exe; nod32.exe; avp.exe

Prozesse mit einer der folgenden Zeichenketten werden beendet:
   • rsing fireware; kav fire; SPHINX; FIREWARE ND; FIREWARE TW; ZoneAlarm;
      AVIRA; McAfee VirusScan; AVAST; BitDefender; Norton; Jiangming;
      Rising; DUBA; NOD32; Kaspersky Lab;

Diebstahl Es wird versucht folgende Information zu klauen:

– Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • grunt.wowchina.com
   • kr.version.worldofwarcraft.com
   • kr.logon.worldofwarcraft.com
   • us.version.worldofwarcraft.com
   • us.logon.worldofwarcraft.com
   • tw.version.worldofwarcraft.com
   • tw.logon.worldofwarcraft.com
   • eu.version.worldofwarcraft.com
   • eu.logon.worldofwarcraft.com
   • cox.net
   • aol.com
   • comcast.net
   • live.com
   • google.com
   • yahoo.com
   • web.de

– Aufgezeichnet wird:
    • Anmeldeinformation

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Thomas Wegele am Tue, 23 Dec 2008 12:48 (GMT+1)
Beschreibung geändert von Thomas Wegele am Tue, 23 Dec 2008 12:58 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück