Nume:TR/Drop.Wsgame.A
Descoperit pe data de:26/07/2010
Tip:Troian
ITW:Da
Numar infectii raportate:Ridicat
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu spre ridicat
Fisier static:Da
Marime:108.704 Bytes
MD5:071138040C52088bb16a11760F19fc9f
Versiune IVDF:7.10.09.196 - Monday, July 26, 2010

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: Artemis!071138040C52
   •  Sophos: Sus/UnkPack-C
   •  Microsoft: TrojanDropper:Win32/Frethog.K
   •  Panda: Trj/CI.A
   •  AhnLab: Trojan/Win32.OnlineGameHack
   •  DrWeb: Trojan.PWS.Wsgame.23196
   •  Ikarus: Worm.Win32.Taterf


Sistem de operare:
   • Windows 98
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efecte secundare:
   • Creeaza un fisier
   • Creeaza un fisier malware
   • Modificari in registri

 Fisiere Copiaza fisierul:
    •  %WINDIR%\notepad.exe în %WINDIR%\%combinatie de caractere aleatoare%



Sterge copia initiala a virusului.



Este creat fisierul:

– %SYSDIR%\ahnoo0.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Wsgame.A

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "%CLSID%"="hook dll rising"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCR\CLSID\%CLSID%\InprocServer32]
   • "(Default)"="%SYSDIR%\ahnoo0.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\%CLSID%]
– [HKCR\CLSID\%CLSID%]
   • "VcbitExeModuleName"="%directorul de activare malware%\%fisier executat%"
   • "VcbitDllModuleName"="%SYSDIR%\ahnoo0.dll"
   • "VcbitSobjEventName"="CVBASDDOOPADSAMN_0"

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Carlos Valero Llabata on Thursday, August 12, 2010
Description updated by Carlos Valero Llabata on Thursday, August 12, 2010

Back . . . .