Nom:TR/NSAnti.B.9
La date de la découverte:01/08/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:28.816 Octets
Somme de contrôle MD5:051c235f29cb1d2d0Ebc499df81e83e9
Version VDF:6.35.01.29 - mardi 1 août 2006
Version IVDF:6.35.01.29 - mardi 1 août 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Infostealer.Lineage
   •  Kaspersky: Trojan-PSW.Win32.QQPass.hd
   •  Bitdefender: Trojan.NSAnti.B


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier
   • Il crée un fichier malveillant
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\SVCH0ST.EXE



Les fichiers suivants sont créés:

%SYSDIR%\mmdat.dat Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %le dossier d'exécution du malware%\%le fichier exécuté%

%SYSDIR%\ntdll32.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Spy.Agent.ct.4.A

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
   • "SVCHOST"="%SYSDIR%\SVCH0ST.EXE"



La clé de registre suivante est ajoutée:

– HKCR\exefile\shell\open\command
   • "(Default)"="%SYSDIR%\SVCH0ST.EXE %1 %*"

 Email Il n'a pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.
L'expéditeur de cet e-mail est ce qui suit:
   • 96262@96262.net <96262@96262.net>


A:
Le destinataire de l'email est le suivant:
   • 665951@QQ.com <665951@QQ.com>


Sujet:
Le suivant:
   • %chaîne de caractères aléatoire%



Corps:

   • %l'information volée%



L'email ressemble à celui-ci:


 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'

– Il capture:
    • Fenêtre d'information

 Informations divers Il crée les Mutex suivants:
   • "MimaThief"
   • "MMSHARED"

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Marius T. Nicolae le mercredi 9 août 2006
Description mise à jour par Marius T. Nicolae le mercredi 23 août 2006

Retour . . . .