TR/PSW.QQPass.WM.5 - Trojan

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	TR/PSW.QQPass.WM.5
Descubierto:	11/05/2007
Tipo:	Troyano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	30.919 Bytes
Suma de control MD5:	ea9ac605c283860A75fc78d05aa04602
Versión del VDF:	6.38.01.133
Versión del IVDF:	6.38.01.139

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Kaspersky: Trojan-PSW.Win32.QQPass.wm
   • F-Secure: Trojan-PSW.Win32.QQPass.wm
   • Eset: Win32/PSW.QQPass.VD

Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Descarga ficheros
   • Suelta un fichero dañino
   • Modificaciones en el registro
   • Roba informaciones

Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %PROGRAM FILES%\Internet Explorer\PLUGINS\system32.jmp

Crea el siguiente fichero:

– %PROGRAM FILES%\Internet Explorer\PLUGINS\System64.sys Los análisis adicionales indicaron que este fichero es también viral.

Intenta descargar algunos ficheros:

– Las direcciones son las siguientes:
   • http://th.wzxqy.com/**********/wl.exe
   • http://th.wzxqy.com/**********/cq.exe
   • http://th.wzxqy.com/**********/my.exe
   • http://th.wzxqy.com/**********/wm.exe
   • http://th.wzxqy.com/**********/gz.exe
   • http://th.wzxqy.com/**********/hx.exe
   • http://th.wzxqy.com/**********/qj.exe
   • http://th.wzxqy.com/**********/tl.exe
   • http://th.wzxqy.com/**********/wd.exe
   • http://th.wzxqy.com/**********/js.exe
   • http://th.wzxqy.com/**********/1.exe
   • http://th.wzxqy.com/**********/2.exe
   • http://th.wzxqy.com/**********/3.exe
   • http://th.wzxqy.com/**********/4.exe
   • http://th.wzxqy.com/**********/5.exe
   • http://th.wzxqy.com/**********/6.exe
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

Registro Añade las siguientes claves al registro:

– [HKCU\Software\Tencent]

– [HKCU\Software\Tencent\Hooker]
   • First = wk

– [HKCR\CLSID\{754FB7D8-B8FE-4810-B363-A788CD060F1F}]
   • @=

– [HKCR\CLSID\{754FB7D8-B8FE-4810-B363-A788CD060F1F}\InProcServer32]
   • @ = %PROGRAM FILES%\Internet Explorer\PLUGINS\System64.sys
   • ThreadingModel = Apartment

Modifica la siguiente clave del registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   Nuevo valor:
   • {754FB7D8-B8FE-4810-B363-A788CD060F1F} =

Robo de informaciones Intenta robar las siguientes informaciones:

– La contraseña del programa:
• QQ

Inyectar el código viral en otros procesos – Inyecta el siguiente fichero en un proceso: system64.sys

    Nombre del proceso:
   • %todos los procesos activos%

   Al lograr la operación, el programa malicioso cesa su ejecución, mientras que su componente inyectado queda activo.

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Delphi.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Fri, 11 May 2007 09:53 (GMT+1)
Descripción actualizada por Andrei Gherman el Mon, 14 May 2007 12:57 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver