Nume:TR/PSW.OnLineGames.O
Descoperit pe data de:02/10/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:62.529 Bytes
MD5:a50C61d13927cf87705727193010f40A
Versiune VDF:6.36.00.73
Versiune IVDF:6.36.00.88 - martedì 10 ottobre 2006

 General Alias:
   •  Kaspersky: Trojan-PSW.Win32.OnLineGames.o
   •  TrendMicro: TSPY_LINEAGE.BNY
   •  Sophos: Troj/Lineag-DIP


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efecte secundare:
   • Creeaza un fisier malware
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\newFiles.exe



Este creat fisierul:

– %SYSDIR%\winewfile.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.OnLineGames.D

 Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– HKCR\CLSID\{B91C5CD8-78E0-4D29-BC75-6D9E075D6763}
   • @="FIVEHOOK"

– KEY_CLASSES_ROOT\CLSID\{B91C5CD8-78E0-4D29-BC75-6D9E075D6763}\
   InProcServer32
   • @="%SYSDIR%\winewfile.dll"
   • "ThreadingModel"="Apartment"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks
   • "{B91C5CD8-78E0-4D29-BC75-6D9E075D6763}"=""

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\winewfile.dll

    Numele procesului:
   • %toate procesele pornite dupa ce virusul este activ in memorie%

   Daca operatiunea se termina cu succes, malware-ul se opreste din executie, iar componenta injectata ramane activa.

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • TFMHRExeMutex

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Bogdan Iliuta su venerdì 20 ottobre 2006
Descrizione aggiornata da Bogdan Iliuta su venerdì 27 ottobre 2006

Indietro . . . .