Nombre:TR/NSAnti.B.9
Descubierto:01/08/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:28.816 Bytes
Suma de control MD5:051c235f29cb1d2d0Ebc499df81e83e9
Versión del VDF:6.35.01.29 - martes 1 de agosto de 2006
Versión del IVDF:6.35.01.29 - martes 1 de agosto de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Symantec: Infostealer.Lineage
   •  Kaspersky: Trojan-PSW.Win32.QQPass.hd
   •  Bitdefender: Trojan.NSAnti.B


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero
   • Suelta un fichero dañino
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\SVCH0ST.EXE



Crea los siguientes ficheros:

%SYSDIR%\mmdat.dat Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %directorio donde se ejecuta el programa viral%\%ficheros ejecutados%

%SYSDIR%\ntdll32.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.Agent.ct.4.A

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
   • "SVCHOST"="%SYSDIR%\SVCH0ST.EXE"



Añade la siguiente clave al registro:

– HKCR\exefile\shell\open\command
   • "(Default)"="%SYSDIR%\SVCH0ST.EXE %1 %*"

 Correo electrónico No tiene rutina propia de propagación, pero puede enviar mensajes de correo. Lo más probable es que el destinatario sea el autor del virus. Las características están descritas a continuación:


De:
La dirección del remitente es falsa.
El remitente del mensaje de correo es el siguiente:
   • 96262@96262.net <96262@96262.net>


Para:
El destinatario del mensaje es el siguiente:
   • 665951@QQ.com <665951@QQ.com>


Asunto:
El siguiente:
   • %serie de caracteres aleatorios%



El cuerpo del mensaje:

   • %informaciones robadas%



El mensaje de correo se ve así:


 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas tipeadas en los campos de contraseñas

– Captura:
    • Información de la ventana

 Informaciones diversas Crea los siguientes objetos mutex:
   • "MimaThief"
   • "MMSHARED"

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Marius T. Nicolae el miércoles 9 de agosto de 2006
Descripción actualizada por Marius T. Nicolae el miércoles 23 de agosto de 2006

Volver . . . .