Nume:TR/NSAnti.B.7
Descoperit pe data de:29/07/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:42.102 Bytes
MD5:caf96db786db731ed89d4ec7a7596ea5
Versiune VDF:6.35.01.20
Versiune IVDF:6.35.01.20

 General    •  Symantec: Trojan.PWS.QQPass
   •  TrendMicro: TSPY_QQPASS.QM
   •  Bitdefender: Trojan.NSAnti.B


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows ME


Efecte secundare:
   • Creeaza un fisier
   • Creeaza un fisier malware
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %PROGRAM FILES%\Internet Explorer\PLUGINS\system.jmp



Sterge urmatoarele fisiere:
   • %WINDIR%\DESKTOP\WODEXIAOSHIHOUCHAONAORENXINGDESHIHOU
   • %WINDIR%\DESKTOP\WAIOZONGSHICHANGGEHONGWONAHSOUGEHAOXIANGZHEYANGCHANGDEWODEGUXIANGZAIYUANFANG
   • %WINDIR%\DESKTOP\TIANHEIHEITIOOTIANTIANDOUYAONIAIWODEXINSIYOUNICAIBUYAOWENWOCONGNALILAI
   • %WINDIR%\DESKTOP\NPKCRYPT.SYS



Este creat fisierul:

– %PROGRAM FILES%\Internet Explorer\PLUGINS\system.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.QQRob.GD

 Registrii sistemului – HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\
   ShellExecuteHooks
   • "{C9953583-932E-4EA1-A04B-4523AAB72C30}"=""



Se adauga in registrii sistemului:

– HKCR\CLSID\{C9953583-932E-4EA1-A04B-4523AAB72C30}\InProcServer32
   • "Default"="%PROGRAM FILES%\Internet Explorer\PLUGINS\system.sys"
   • "ThreadingModel"="Apartment"

 Backdoor Trimte informatii despre:
    • Parole retinute

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %PROGRAM FILES%\Internet Explorer\PLUGINS\system.sys


– Se injecteaza ca un thread intr-un proces.

    Numele procesului:
   • %toate procesele active%


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.

Description inserted by Bogdan Iliuta on Wednesday, August 9, 2006
Description updated by Andrei Ivanes on Monday, August 14, 2006

Back . . . .