Nome del virus:TR/PSW.Gamania.CC.2
Scoperto:20/03/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:62.364 Byte
Somma di controllo MD5:6744e194e537523b9aceaad66236614e
Versione VDF:6.33.01.12

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: PWS-Lineage
   •  Bitdefender: Trojan.PSW.Gamania.CC


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file
   • Clona un file “maligno”
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %SYSDIR%\Kerne0110.exe



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

– c:\log.txt Questo è un file di testo “non maligno” con il seguente contenuto:
   • %informazioni sottratte%

%directory di esecuzione del malware%\gg.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.
%SYSDIR%\microsoftie0110.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Drop.PSW.Gama.CC

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%SYSDIR%\Kerne0110.exe"

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– La password dal seguente programma:
   • Lineage

– Dopo aver visitato un sito web, che nel suo URL contiene una delle seguenti sottostringhe, viene avviata una procedura di “tracciamento”:
   • http://club.pchome.com.tw
   • http://gash.gamania.com
   • http://tw.gamania.com
   • https://tw.gash.gamania.com
   • http://tw.gashcard.gamania.com
   • https://tw.goodlock.gamania.com
   • http://tw.login.yahoo.com
   • https://tw.event.gamania.com
   • https://tw.reg.yahoo.com
   • http://www.gamania.com

– Cattura:
    • Informazioni di login

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.

Descrizione inserita da Iulia Diaconescu su lunedì 20 marzo 2006
Descrizione aggiornata da Iulia Diaconescu su lunedì 20 marzo 2006

Indietro . . . .