Nume:TR/Onlinegames.B
Descoperit pe data de:19/05/2008
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Nu
Marime:~100.000 Bytes
Versiune IVDF:7.00.04.63 - Tuesday, May 20, 2008

 General Metoda de raspandire:
   • Discuri de retea mapate


Alias:
   •  Mcafee: PWS-LegMir.gen.k
   •  Kaspersky: Trojan-PSW.Win32.OnLineGames.ngm
   •  F-Secure: Trojan-PSW.Win32.OnLineGames.ngm
   •  Grisoft: Worm/AutoRun.Y
   •  Eset: Win32/PSW.OnLineGames.NLI
   •  Bitdefender: Trojan.PWS.OnlineGames.WME

Detectii similare:
   •  TR/Onlinegames.B.%numar%


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\amvo.exe



Scrie pe disc o copie a lui alegand numele fisierului dintr-o lista:
– Catre: %unitate disc%\ Folosind unul din urmatoarele nume:
   • %combinatie de caractere aleatoare%.exe
   • %combinatie de caractere aleatoare%.bat
   • %combinatie de caractere aleatoare%.cmd
   • %combinatie de caractere aleatoare%.com




Sunt create fisierele:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %TEMPDIR%\%combinatie de caractere aleatoare%.sys
   • %TEMPDIR%\%combinatie de caractere aleatoare%.dll

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %TEMPDIR%\%combinatie de caractere aleatoare%.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: RKIT/Vanti

– %TEMPDIR%\%combinatie de caractere aleatoare%.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.NSPM.Gen

– %SYSDIR%\amvo0.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.NSPM.Gen

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • amva = %SYSDIR%\amvo.exe



Urmatoarele chei din registri sunt modificate:

Diverse setari in Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Vechea valoare:
   • Hidden = %setarile utilizatorului%
   • ShowSuperHidden = %setarile utilizatorului%
   Noua valoare:
   • Hidden = 2
   • ShowSuperHidden = 0

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Vechea valoare:
   • CheckedValue = %setarile utilizatorului%
   Noua valoare:
   • CheckedValue = 0

 Furt de informatii Incearca sa obtina urmatoarele informatii:

– Parolele din urmatoarele programe:
   • Maple Story
   • Lineage

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\amvo0.dll

    Numele procesului:
   • explorer.exe

   Daca operatiunea se termina cu succes, malware-ul se opreste din executie, iar componenta injectata ramane activa.

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Andrei Gherman on Friday, June 13, 2008
Description updated by Andrei Gherman on Friday, June 13, 2008

Back . . . .