Nume:TR/PSW.Lineage.VD
Descoperit pe data de:17/07/2006
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:26.627 Bytes
MD5:29e1dd7658d7c337fab08beb8343a81b
Versiune VDF:6.33.01.45
Versiune IVDF:6.33.01.46 - giovedì 2 marzo 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Infostealer.Lineage
   •  TrendMicro: TSPY_LINEAGE.AQZ
   •  Bitdefender: Dropped:Trojan.Pws.Lineage.ZT


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier malware
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\Config\svhost32.exe



Este creat fisierul:

– %SYSDIR%\fzgdll.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.Lineage.ZT.1

 Registrii sistemului –  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "fzg"="%WINDIR%\Config\svhost32.exe"

 Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:


De la:
Expeditorul email-ului este urmatorul:
   • vip@microsoft.com

 Furt de informatii Incearca sa obtina urmatoarele informatii:

– Parola din programul:
   • Lineage

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\fzgdll.dll

    Urmatoarele procese:
   • explorer.exe
   • %procese care au ferestre vizibile%


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Monica Ghitun su lunedì 17 luglio 2006
Descrizione aggiornata da Monica Ghitun su lunedì 7 agosto 2006

Indietro . . . .