Nume:TR/PSW.Lmir.51944
Descoperit pe data de:11/09/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:51.963 Bytes
MD5:d72a7db27962cdb93efb82737ef6cdaf
Versiune VDF:6.35.01.208
Versiune IVDF:6.35.01.212 - martes 12 de septiembre de 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: PWS-WoW trojan
   •  Kaspersky: Trojan-PSW.Win32.WOW.ih
   •  TrendMicro: TSPY_WOW.LW
   •  F-Secure: Trojan-PSW.Win32.WOW.ih


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\LSASS.exe
   • %PROGRAM FILES%\Internet Explorer\INTEXPLORE.com
   • %PROGRAM FILES%\Common Files\INTEXPLORE.pif
   • %WINDIR%\EXERT.exe
   • %SYSDIR%\MSCONFIG.COM
   • %SYSDIR%\dxdiag.com
   • %SYSDIR%\regedit.com
   • %WINDIR%\Debug\DebugProgram.exe
   • D:\command.com



Este creat fisierul:

– D:\autorun.inf

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ToP"="%WINDIR%\LSASS.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCR\WindowFiles]
– [HKCR\WindowFiles\DefaultIcon]
   • @="%1"

– [HKCR\WindowFiles\Shell]
– [HKCR\WindowFiles\Shell\Open]
– [HKCR\WindowFiles\Shell\Open\Command]
   • @="%WINDIR%\EXERT.exe "%1" %*"



Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
   Vechea valoare:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Noua valoare:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" -nohome"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Vechea valoare:
   • "Check_Associations"=%setarile utilizatorului%
   Noua valoare:
   • "Check_Associations"="No"

– [HKCR\Applications\iexplore.exe\shell\open\command]
   Vechea valoare:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1"
   Noua valoare:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" %1"

– [HKCR\CLSID\{%CLSID%}\shell\OpenHomePage\Command]
   Vechea valoare:
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe"
   Noua valoare:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com""

– [HKCR\ftp\shell\open\command]
   Vechea valoare:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1"
   Noua valoare:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" %1"

– [HKCR\htmlfile\shell\open\command]
   Vechea valoare:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Noua valoare:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" -nohome"

– [HKCR\htmlfile\shell\opennew\command]
   Vechea valoare:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1"
   Noua valoare:
   • @=""%PROGRAM FILES%\common~1\INTEXPLORE.pif" %1"

– [HKCR\http\shell\open\command]
   Vechea valoare:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Noua valoare:
   • @=""%PROGRAM FILES%\common~1\INTEXPLORE.pif" -nohome"

– [HKLM\SOFTWARE\Classes\http\shell\open\command]
   Vechea valoare:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Noua valoare:
   • @=""%PROGRAM FILES%\common~1\INTEXPLORE.pif" -nohome"

– [HKCR\.exe]
   Vechea valoare:
   • @="exefile"
   Noua valoare:
   • @="WindowFiles"

 Terminarea proceselor Procesele care contin urmatoarele siruri de caractere sunt oprite:
   • MMSK; RAVMON; TROJDIE; KPOP; CCENTER; ASSISTSE; KPFW; AGENTSVR; KV;
      KREG; IEFIND; IPARMOR; SVI.EXE; UPHC; RULEWIZE; FYGT; RFWSRV; RFWMA


 Furt de informatii Incearca sa obtina urmatoarele informatii:

– Parolele din urmatoarele programe:
   • World of old oriental legends
   • World of Warcraft
   • Zhengtu

– O rutina de logare este pornita dupa ce unul din urmatoarele site-uri este vizitat:
   • us.logon.worldofwarcraft.com
   • eu.logon.worldofwarcraft.com
   • tw.logon.worldofwarcraft.com

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Adriana Popa el lunes 25 de septiembre de 2006
Descripción actualizada por Adriana Popa el lunes 25 de septiembre de 2006

Volver . . . .