Nume:TR/PSW.OnLineGames.O
Descoperit pe data de:02/10/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:62.529 Bytes
MD5:a50C61d13927cf87705727193010f40A
Versiune VDF:6.36.00.73
Versiune IVDF:6.36.00.88 - mardi 10 octobre 2006

 General Alias:
   •  Kaspersky: Trojan-PSW.Win32.OnLineGames.o
   •  TrendMicro: TSPY_LINEAGE.BNY
   •  Sophos: Troj/Lineag-DIP


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efecte secundare:
   • Creeaza un fisier malware
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\newFiles.exe



Este creat fisierul:

– %SYSDIR%\winewfile.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.OnLineGames.D

 Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– HKCR\CLSID\{B91C5CD8-78E0-4D29-BC75-6D9E075D6763}
   • @="FIVEHOOK"

– KEY_CLASSES_ROOT\CLSID\{B91C5CD8-78E0-4D29-BC75-6D9E075D6763}\
   InProcServer32
   • @="%SYSDIR%\winewfile.dll"
   • "ThreadingModel"="Apartment"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks
   • "{B91C5CD8-78E0-4D29-BC75-6D9E075D6763}"=""

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\winewfile.dll

    Numele procesului:
   • %toate procesele pornite dupa ce virusul este activ in memorie%

   Daca operatiunea se termina cu succes, malware-ul se opreste din executie, iar componenta injectata ramane activa.

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • TFMHRExeMutex

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Bogdan Iliuta le vendredi 20 octobre 2006
Description mise à jour par Bogdan Iliuta le vendredi 27 octobre 2006

Retour . . . .