Nom:TR/PSW.WOW.PQ.1
La date de la découverte:19/02/2007
Type:Cheval de Troie
En circulation:Non
Infections signalées Moyen
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:19.717 Octets
Somme de contrôle MD5:2e216d6f39d7a805b6fa02e51c967c4b
Version VDF:6.37.01.112
Version IVDF:6.37.01.113 - lundi 19 février 2007

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %TEMPDIR%\svchots.exe



Les fichiers suivants sont créés:

%TEMPDIR%\She1132.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.WOW.PQ

%TEMPDIR%\~Tm94.tmp.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Smal.dp.1.D

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Winlogin"="%TEMPDIR%\svchots.exe"

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'

– Le mot de passe du programme suivant:
   • wow.exe

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %temp%\She1132.dll


– Il injecte une routine de surveillance de processus dans un processus:

    Nom du processus:
   • %tous les processus en exécution"



–  Il injecte le fichier suivant dans un processus: %temp%\~Tm94.tmp.dll


– Il injecte une routine de surveillance de processus dans un processus:

    Nom du processus:
   • %tous les processus en exécution"


 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • WinUpack

Description insérée par Gabriel Mustata le mardi 20 février 2007
Description mise à jour par Andrei Ivanes le jeudi 1 mars 2007

Retour . . . .