Nome del virus:TR/Hook.Tank.1
Scoperto:26/09/2005
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:69.120 Byte
Somma di controllo MD5:f78d484ac2def8671ca07e8d7ddc916c
Versione VDF:6.32.0.37

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-PSW.Win32.Lineage.mp
   •  Bitdefender: Trojan.ShellHook


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Clona un file “maligno”
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni

 File Vengono creati i seguenti file:

%SYSDIR%\windir32.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Hook.Tank.1

%root del drive di sistema%\t1game.txt Questo file contiene le battute di tastiera recuperate.

 Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKCR\CLSID\{04ED35B6-9A10-4EB3-9C1E-66B2CFA5AC77}]
   • @="HOOK"

– [HKCR\CLSID\{04ED35B6-9A10-4EB3-9C1E-66B2CFA5AC77}\InProcServer32]
   • @="%SYSDIR%\windir32.dll"
   • "ThreadingModel"="Apartment"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{04ED35B6-9A10-4EB3-9C1E-66B2CFA5AC77}"=""

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– La password dal seguente programma:
   • Lineage

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\windir32.dll

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.

Descrizione inserita da Iulia Diaconescu su martedì 27 settembre 2005
Descrizione aggiornata da Iulia Diaconescu su venerdì 30 settembre 2005

Indietro . . . .