Nome del virus:TR/PSW.LDPinch.GKA
Scoperto:24/03/2006
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:116.736 Byte
Somma di controllo MD5:fcbf84013de305e17f1eb09fd6ecdd71
Versione VDF:6.34.00.91

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Eset: Win32/PSW.LdPinch.NBT


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Clona un file “maligno”
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %WINDIR%\%file eseguiti%



Viene creato il seguente file:

%WINDIR%\ihook.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSWLDPinch.GK.1

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "SVCHOST"="%WINDIR%\%file eseguiti%"



Viene aggiunta la seguente chiave di registro:

– HKCU\Software\Intel
   • "Data"=%informazioni sottratte%

 Email Non ha una propria procedura di diffusione ma ha la capacità di inviare un'email. Molto probabilmente il ricevente è l'autore. Le caratteristiche sono descritte qui sotto:


Design dell'email:



Da: cooli4@mail.ru
A: cooli4@mail.ru
Oggetto: Passwords from ld-pinch (%nome del computer%)
Corpo della mail:
   • %informazioni sottratte%

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– Le password dai seguenti programmi:
   • ICQ
   • Miranda
   • The Bat!
   • Windows Commander
   • Total Commander
   • Far

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con i seguenti software di compressione:
   • NSPack
   • Obsidium

Descrizione inserita da Irina Boldea su giovedì 23 marzo 2006
Descrizione aggiornata da Irina Boldea su venerdì 24 marzo 2006

Indietro . . . .