Nom:TR/PSW.LDPinch.GKA
La date de la découverte:24/03/2006
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:116.736 Octets
Somme de contrôle MD5:fcbf84013de305e17f1eb09fd6ecdd71
Version VDF:6.34.00.91

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


L'alias:
   •  Eset: Win32/PSW.LdPinch.NBT


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\%le fichier exécuté%



Le fichier suivant est créé:

%WINDIR%\ihook.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSWLDPinch.GK.1

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "SVCHOST"="%WINDIR%\%le fichier exécuté%"



La clé de registre suivante est ajoutée:

– HKCU\Software\Intel
   • "Data"=%l'information volée%

 Email Il n'a pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:


Le format des emails:
 


De: cooli4@mail.ru
A: cooli4@mail.ru
Sujet: Passwords from ld-pinch (%le nom de l'ordinateur%)
Le corps:
   • %l'information volée%

 Vol d'informations Il essaie de voler l'information suivante:

– Les mots de passe des programmes suivants:
   • ICQ
   • Miranda
   • The Bat!
   • Windows Commander
   • Total Commander
   • Far

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec les logiciels de compression des exécutables suivants:
   • NSPack
   • Obsidium

Description insérée par Irina Boldea le jeudi 23 mars 2006
Description mise à jour par Irina Boldea le vendredi 24 mars 2006

Retour . . . .