Nombre:TR/PSW.OnLineGames.O
Descubierto:02/10/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:62.529 Bytes
Suma de control MD5:a50C61d13927cf87705727193010f40A
Versión del VDF:6.36.00.73
Versión del IVDF:6.36.00.88 - martes 10 de octubre de 2006

 General Alias:
   •  Kaspersky: Trojan-PSW.Win32.OnLineGames.o
   •  TrendMicro: TSPY_LINEAGE.BNY
   •  Sophos: Troj/Lineag-DIP


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Suelta un fichero dañino
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\newFiles.exe



Crea el siguiente fichero:

%SYSDIR%\winewfile.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/PSW.OnLineGames.D

 Registro Añade las siguientes claves al registro:

– HKCR\CLSID\{B91C5CD8-78E0-4D29-BC75-6D9E075D6763}
   • @="FIVEHOOK"

– KEY_CLASSES_ROOT\CLSID\{B91C5CD8-78E0-4D29-BC75-6D9E075D6763}\
   InProcServer32
   • @="%SYSDIR%\winewfile.dll"
   • "ThreadingModel"="Apartment"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks
   • "{B91C5CD8-78E0-4D29-BC75-6D9E075D6763}"=""

 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas tipeadas en los campos de contraseñas

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %SYSDIR%\winewfile.dll

    Nombre del proceso:
   • %todos los procesos se han iniciado después de que el malware es
      activo en la memoria% 

   Al lograr la operación, el programa malicioso cesa su ejecución, mientras que su componente inyectado queda activo.

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • TFMHRExeMutex

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Bogdan Iliuta el viernes 20 de octubre de 2006
Descripción actualizada por Bogdan Iliuta el viernes 27 de octubre de 2006

Volver . . . .