Nome del virus:TR/NSAnti.B.7
Scoperto:29/07/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:42.102 Byte
Somma di controllo MD5:caf96db786db731ed89d4ec7a7596ea5
Versione VDF:6.35.01.20
Versione IVDF:6.35.01.20

 Generale    •  Symantec: Trojan.PWS.QQPass
   •  TrendMicro: TSPY_QQPASS.QM
   •  Bitdefender: Trojan.NSAnti.B


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows ME


Effetti secondari:
   • Duplica un file
   • Clona un file “maligno”
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %PROGRAM FILES%\Internet Explorer\PLUGINS\system.jmp



Cancella i seguenti file:
   • %WINDIR%\DESKTOP\WODEXIAOSHIHOUCHAONAORENXINGDESHIHOU
   • %WINDIR%\DESKTOP\WAIOZONGSHICHANGGEHONGWONAHSOUGEHAOXIANGZHEYANGCHANGDEWODEGUXIANGZAIYUANFANG
   • %WINDIR%\DESKTOP\TIANHEIHEITIOOTIANTIANDOUYAONIAIWODEXINSIYOUNICAIBUYAOWENWOCONGNALILAI
   • %WINDIR%\DESKTOP\NPKCRYPT.SYS



Viene creato il seguente file:

%PROGRAM FILES%\Internet Explorer\PLUGINS\system.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSW.QQRob.GD

 Registro – HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\
   ShellExecuteHooks
   • "{C9953583-932E-4EA1-A04B-4523AAB72C30}"=""



Viene aggiunta la seguente chiave di registro:

– HKCR\CLSID\{C9953583-932E-4EA1-A04B-4523AAB72C30}\InProcServer32
   • "Default"="%PROGRAM FILES%\Internet Explorer\PLUGINS\system.sys"
   • "ThreadingModel"="Apartment"

 Backdoor Invia informazioni riguardanti:
    • Password memorizzate nella cache

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %PROGRAM FILES%\Internet Explorer\PLUGINS\system.sys


– Si inserisce come thread in un processo.

    Nome del processo:
   • %tutti i processi in esecuzione%


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.

Descrizione inserita da Bogdan Iliuta su mercoledì 9 agosto 2006
Descrizione aggiornata da Andrei Ivanes su lunedì 14 agosto 2006

Indietro . . . .