TR/NSAnti.B.7 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/NSAnti.B.7
La date de la découverte:	29/07/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	42.102 Octets
Somme de contrôle MD5:	caf96db786db731ed89d4ec7a7596ea5
Version VDF:	6.35.01.20
Version IVDF:	6.35.01.20

Général    • Symantec: Trojan.PWS.QQPass
   • TrendMicro: TSPY_QQPASS.QM
   • Bitdefender: Trojan.NSAnti.B

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows ME

Effets secondaires:
   • Il crée un fichier
   • Il crée un fichier malveillant
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information

Fichiers Il s'autocopie dans l'emplacement suivant:
   • %PROGRAM FILES%\Internet Explorer\PLUGINS\system.jmp

Il supprime les fichiers suivants:
   • %WINDIR%\DESKTOP\WODEXIAOSHIHOUCHAONAORENXINGDESHIHOU
   • %WINDIR%\DESKTOP\WAIOZONGSHICHANGGEHONGWONAHSOUGEHAOXIANGZHEYANGCHANGDEWODEGUXIANGZAIYUANFANG
   • %WINDIR%\DESKTOP\TIANHEIHEITIOOTIANTIANDOUYAONIAIWODEXINSIYOUNICAIBUYAOWENWOCONGNALILAI
   • %WINDIR%\DESKTOP\NPKCRYPT.SYS

Le fichier suivant est créé:

– %PROGRAM FILES%\Internet Explorer\PLUGINS\system.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.QQRob.GD

Registre – HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\
   ShellExecuteHooks
   • "{C9953583-932E-4EA1-A04B-4523AAB72C30}"=""

La clé de registre suivante est ajoutée:

– HKCR\CLSID\{C9953583-932E-4EA1-A04B-4523AAB72C30}\InProcServer32
   • "Default"="%PROGRAM FILES%\Internet Explorer\PLUGINS\system.sys"
   • "ThreadingModel"="Apartment"

Porte dérobée Il envoie de l'information au sujet de:
• Les mots de passe en antémémoire:

L'injection du code viral dans d'autres processus – Il injecte le fichier suivant dans un processus: %PROGRAM FILES%\Internet Explorer\PLUGINS\system.sys

– Il s'injecte comme fil d'exécution dans un processus.

Nom du processus :
• %tous les processus en exécution"

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Voir la description brève ici.

Description inséré par Bogdan Iliuta sur Wed, 09 Aug 2006 12:26 (GMT+1)
Description mise à jour par Andrei Ivanes sur Mon, 14 Aug 2006 16:19 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back