Nume:TR/PSW.OnLineGames.O
Descoperit pe data de:02/10/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:62.529 Bytes
MD5:a50C61d13927cf87705727193010f40A
Versiune VDF:6.36.00.73
Versiune IVDF:6.36.00.88 - martes 10 de octubre de 2006

 General Alias:
   •  Kaspersky: Trojan-PSW.Win32.OnLineGames.o
   •  TrendMicro: TSPY_LINEAGE.BNY
   •  Sophos: Troj/Lineag-DIP


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efecte secundare:
   • Creeaza un fisier malware
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\newFiles.exe



Este creat fisierul:

– %SYSDIR%\winewfile.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.OnLineGames.D

 Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– HKCR\CLSID\{B91C5CD8-78E0-4D29-BC75-6D9E075D6763}
   • @="FIVEHOOK"

– KEY_CLASSES_ROOT\CLSID\{B91C5CD8-78E0-4D29-BC75-6D9E075D6763}\
   InProcServer32
   • @="%SYSDIR%\winewfile.dll"
   • "ThreadingModel"="Apartment"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks
   • "{B91C5CD8-78E0-4D29-BC75-6D9E075D6763}"=""

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\winewfile.dll

    Numele procesului:
   • %toate procesele pornite dupa ce virusul este activ in memorie%

   Daca operatiunea se termina cu succes, malware-ul se opreste din executie, iar componenta injectata ramane activa.

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • TFMHRExeMutex

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Bogdan Iliuta el viernes 20 de octubre de 2006
Descripción actualizada por Bogdan Iliuta el viernes 27 de octubre de 2006

Volver . . . .