Nom:TR/PSW.Lineage.EM.5
La date de la découverte:17/07/2006
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:36.864 Octets
Somme de contrôle MD5:e70A613bc03f252a786e3fea308cd6d7
Version VDF:6.35.00.134
Version IVDF:6.35.00.173 - lundi 17 juillet 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Infostealer.Lineage
   •  Kaspersky: Trojan-PSW.Win32.Lineage.em
   •  TrendMicro: TSPY_LINEAGE.ANU


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %PROGRAM FILES%\Microsoft\svhost32.exe



Il crée le répertoire suivant:
   • %PROGRAM FILES%\Microsoft



Le fichier suivant est créé:

%SYSDIR%\msdll.dll Ensuite, il est exécuté après avoir été completment crée.

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ms"="%PROGRAM FILES%\Microsoft\svhost32.exe"

 Email Il n'a pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:
L'expéditeur de cet e-mail est ce qui suit:
   • vip@microsoft.com

 Vol d'informations Il essaie de voler l'information suivante:

– Le mot de passe du programme suivant:
   • Lineage

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\msdll.dll

    Tous les processus suivants:
   • explorer.exe
   • %Processus avec les fenêtres visibles%


 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Monica Ghitun le lundi 17 juillet 2006
Description mise à jour par Monica Ghitun le jeudi 3 août 2006

Retour . . . .