TR/NSAnti.B.9 - Trojan

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	TR/NSAnti.B.9
Descubierto:	01/08/2006
Tipo:	Troyano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio-bajo
Fichero estático:	Sí
Tamaño:	28.816 Bytes
Suma de control MD5:	051c235f29cb1d2d0Ebc499df81e83e9
Versión del VDF:	6.35.01.29
Versión del IVDF:	6.35.01.29

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Symantec: Infostealer.Lineage
   • Kaspersky: Trojan-PSW.Win32.QQPass.hd
   • Bitdefender: Trojan.NSAnti.B

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Suelta un fichero
   • Suelta un fichero dañino
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\SVCH0ST.EXE

Crea los siguientes ficheros:

– %SYSDIR%\mmdat.dat Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
• %directorio donde se ejecuta el programa viral%\%ficheros ejecutados%

– %SYSDIR%\ntdll32.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.Agent.ct.4.A

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
• "SVCHOST"="%SYSDIR%\SVCH0ST.EXE"

Añade la siguiente clave al registro:

– HKCR\exefile\shell\open\command
• "(Default)"="%SYSDIR%\SVCH0ST.EXE %1 %*"

Correo electrónico No tiene rutina propia de propagación, pero puede enviar mensajes de correo. Lo más probable es que el destinatario sea el autor del virus. Las características están descritas a continuación:

De:
La dirección del remitente es falsa.
El remitente del mensaje de correo es el siguiente:
   • 96262@96262.net <96262@96262.net>

Para:
El destinatario del mensaje es el siguiente:
   • 665951@QQ.com <665951@QQ.com>

Asunto:
El siguiente:
   • %serie de caracteres aleatorios%

El cuerpo del mensaje:

   • %informaciones robadas%

El mensaje de correo se ve así:

Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas tipeadas en los campos de contraseñas

– Captura:
• Información de la ventana

Informaciones diversas Crea los siguientes objetos mutex:
• "MimaThief"
• "MMSHARED"

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Marius T. Nicolae el Wed, 09 Aug 2006 11:54 (GMT+1)
Descripción actualizada por Marius T. Nicolae el Wed, 23 Aug 2006 15:47 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver