Nombre:TR/NSAnti.B.7
Descubierto:29/07/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:42.102 Bytes
Suma de control MD5:caf96db786db731ed89d4ec7a7596ea5
Versión del VDF:6.35.01.20
Versión del IVDF:6.35.01.20

 General    •  Symantec: Trojan.PWS.QQPass
   •  TrendMicro: TSPY_QQPASS.QM
   •  Bitdefender: Trojan.NSAnti.B


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows ME


Efectos secundarios:
   • Suelta un fichero
   • Suelta un fichero dañino
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %PROGRAM FILES%\Internet Explorer\PLUGINS\system.jmp



Elimina los siguientes ficheros:
   • %WINDIR%\DESKTOP\WODEXIAOSHIHOUCHAONAORENXINGDESHIHOU
   • %WINDIR%\DESKTOP\WAIOZONGSHICHANGGEHONGWONAHSOUGEHAOXIANGZHEYANGCHANGDEWODEGUXIANGZAIYUANFANG
   • %WINDIR%\DESKTOP\TIANHEIHEITIOOTIANTIANDOUYAONIAIWODEXINSIYOUNICAIBUYAOWENWOCONGNALILAI
   • %WINDIR%\DESKTOP\NPKCRYPT.SYS



Crea el siguiente fichero:

%PROGRAM FILES%\Internet Explorer\PLUGINS\system.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/PSW.QQRob.GD

 Registro – HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\
   ShellExecuteHooks
   • "{C9953583-932E-4EA1-A04B-4523AAB72C30}"=""



Añade la siguiente clave al registro:

– HKCR\CLSID\{C9953583-932E-4EA1-A04B-4523AAB72C30}\InProcServer32
   • "Default"="%PROGRAM FILES%\Internet Explorer\PLUGINS\system.sys"
   • "ThreadingModel"="Apartment"

 Backdoor (Puerta trasera) Envía informaciones acerca de:
    • Contraseñas guardadas

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %PROGRAM FILES%\Internet Explorer\PLUGINS\system.sys


– Se inyecta a sí mismo como hilo de ejecución remoto en un proceso.

    Nombre del proceso:
   • %todos los procesos activos%


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.

Descripción insertada por Bogdan Iliuta el miércoles 9 de agosto de 2006
Descripción actualizada por Andrei Ivanes el lunes 14 de agosto de 2006

Volver . . . .