Nume:TR/NSAnti.B.9
Descoperit pe data de:01/08/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:28.816 Bytes
MD5:051c235f29cb1d2d0Ebc499df81e83e9
Versiune VDF:6.35.01.29 - martedì 1 agosto 2006
Versiune IVDF:6.35.01.29 - martedì 1 agosto 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Infostealer.Lineage
   •  Kaspersky: Trojan-PSW.Win32.QQPass.hd
   •  Bitdefender: Trojan.NSAnti.B


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier
   • Creeaza un fisier malware
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\SVCH0ST.EXE



Sunt create fisierele:

– %SYSDIR%\mmdat.dat Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %directorul de activare malware%\%fisier executat%

– %SYSDIR%\ntdll32.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Spy.Agent.ct.4.A

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
   • "SVCHOST"="%SYSDIR%\SVCH0ST.EXE"



Se adauga in registrii sistemului:

– HKCR\exefile\shell\open\command
   • "(Default)"="%SYSDIR%\SVCH0ST.EXE %1 %*"

 Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:


De la:
Adresa este falsificata.
Expeditorul email-ului este urmatorul:
   • 96262@96262.net <96262@96262.net>


Catre:
Destinatarul mesajului este:
   • 665951@QQ.com <665951@QQ.com>


Subiect:
Urmatorul:
   • %combinatie de caractere aleatoare%



Corpul email-ului:

   • %informatiile sustrase%



Email-ul arata astfel:


 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare

– Face captura la:
    • Informatii legate de fereastra

 Alte informatii Creeaza urmatorii mutecsi:
   • "MimaThief"
   • "MMSHARED"

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Marius T. Nicolae su mercoledì 9 agosto 2006
Descrizione aggiornata da Marius T. Nicolae su mercoledì 23 agosto 2006

Indietro . . . .