Nombre:TR/PSW.Viking.A
Descubierto:27/11/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:80.896 Bytes
Suma de control MD5:ef23dd7d7d60a9721f3d8bf6d0ed4a78
Versión del VDF:6.36.01.88
Versión del IVDF:6.36.01.92 - lunes 27 de noviembre de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: PWS-Gamania
   •  Kaspersky: Trojan-PSW.Win32.Hangame.cl
   •  F-Secure: Trojan-PSW.Win32.Hangame.cl
   •  Bitdefender: Win32.AV-Killer

Identificado anteriormente como:
   •  Worm/Viking.A


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %PROGRAM FILES%\Windows Media Player\svchost.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

– Un fichero temporal, que puede ser eliminado después:
   • %TEMPDIR%\$$c%número hexadecimal%.tmp

%SYSDIR%\PDLL.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/PSW.Lineage.anb

%TEMPDIR%\$$c%número hexadecimal%.tmp.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Modifica la siguiente clave del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Userinit"="%SYSDIR%\userinit.exe,"
   Nuevo valor:
   • "Userinit"="%SYSDIR%\userinit.exe,%PROGRAM FILES%\Windows Media Player\svchost.exe,"

 Robo de informaciones Intenta robar las siguientes informaciones:

– La contraseña del programa:
   • Lineage

– Después de visitar el siguiente sitio web, se crea una rutina para generar ficheros de informe:
   • http://tw.login.yahoo.com/cgi-bin/login.cgi?srv=

– Captura:
    • Informaciones para iniciar sesión

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: PDLL.dll

    Nombre del proceso:
   • %todos los procesos activos%


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Adriana Popa el jueves 23 de noviembre de 2006
Descripción actualizada por Adriana Popa el lunes 27 de noviembre de 2006

Volver . . . .