Nombre:TR/NSAnti.B.4
Descubierto:28/07/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:47.235 Bytes
Suma de control MD5:6fa72cbba8f23eae2797557c704095e5
Versión del VDF:6.35.01.15 - viernes 28 de julio de 2006
Versión del IVDF:6.35.01.15 - viernes 28 de julio de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Symantec: Trojan.PWS.QQPass
   •  Kaspersky: Trojan-PSW.Win32.QQPass.jg
   •  TrendMicro: TSPY_QQPASS.QW
   •  Bitdefender: Trojan.NSAnti.B


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows ME


Efectos secundarios:
   • Suelta un fichero dañino
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\SVOHOST.EXE



Elimina la copia inicial del virus.



Elimina los siguientes ficheros:
   • %SYSDIR%\KAKATOOL.DLL
   • %SYSDIR%\DQHX.TXT



Crea el siguiente fichero:

%SYSDIR%\WINSCOK.DLL Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/PSW.QQPass.JG

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "SoundMam"="%SYSDIR%\SVOHOST.exe"



Elimina del registro de Windows los valores de las siguientes claves:

–  HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • RavTask
   • KvMonXP
   • YLive.exe
   • yassistse
   • KAVPersonal50
   • NTdhcp
   • Winhoxt



Añade la siguiente clave al registro:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "hx-1"="%número%"



Modifica la siguiente clave del registro:

– HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\
   Folder\Hidden\SHOWALL
   Nuevo valor:
   • "CheckedValue"="0"

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Ionut Slaveanu el miércoles 9 de agosto de 2006
Descripción actualizada por Andrei Ivanes el lunes 28 de agosto de 2006

Volver . . . .