Nombre:TR/NSAnti.A.257
Descubierto:11/04/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:37.376 Bytes
Suma de control MD5:dbcc7870fb82efce39ac9deb5a825b30
Versión del VDF:6.34.00.173
Versión del IVDF:6.34.00.175 - miércoles 12 de abril de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Symantec: Infostealer.Lineage
   •  Mcafee: PWS-Lineage
   •  Kaspersky: Trojan-PSW.Win32.Lineage.mz
   •  TrendMicro: TSPY_LINEAGE.AIK
   •  Sophos: Troj/Lineage-OC
   •  VirusBuster: trojan Trojan.PWS.Lineage.KJ
   •  Bitdefender: Trojan.NSAnti.B


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows ME


Efectos secundarios:
   • Suelta un fichero
   • Registra las pulsaciones de teclado
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\kerne121.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

%SYSDIR%\microsoftie21.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral.
%directorio donde se ejecuta el programa viral%\$$A$$.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Kerne121"="%SYSDIR%\Kerne121.exe"

 Backdoor (Puerta trasera) Envía informaciones acerca de:
    • Nombre del ordenador
    • Ficheros de informe creados
    • Las informaciones recolectadas, descritas en la sección

 Robo de informaciones Intenta robar las siguientes informaciones:
    • Informaciones para iniciar sesión

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Gabriel Mustata el martes 19 de septiembre de 2006
Descripción actualizada por Andrei Ivanes el martes 19 de septiembre de 2006

Volver . . . .