Nume:TR/PSW.Viking.A
Descoperit pe data de:27/11/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:80.896 Bytes
MD5:ef23dd7d7d60a9721f3d8bf6d0ed4a78
Versiune VDF:6.36.01.88
Versiune IVDF:6.36.01.92 - lunedì 27 novembre 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: PWS-Gamania
   •  Kaspersky: Trojan-PSW.Win32.Hangame.cl
   •  F-Secure: Trojan-PSW.Win32.Hangame.cl
   •  Bitdefender: Win32.AV-Killer

Initial identificat ca:
   •  Worm/Viking.A


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %PROGRAM FILES%\Windows Media Player\svchost.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

– Un fisier temporar care poate fi sters dupa aceea:
   • %TEMPDIR%\$$c%numar hexazecimal%.tmp

– %SYSDIR%\PDLL.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.Lineage.anb

– %TEMPDIR%\$$c%numar hexazecimal%.tmp.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Urmatoarea cheie din registri este modificata:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • "Userinit"="%SYSDIR%\userinit.exe,"
   Noua valoare:
   • "Userinit"="%SYSDIR%\userinit.exe,%PROGRAM FILES%\Windows Media Player\svchost.exe,"

 Furt de informatii Incearca sa obtina urmatoarele informatii:

– Parola din programul:
   • Lineage

– O rutina de logare este pornita dupa ce un site este vizitat:
   • http://tw.login.yahoo.com/cgi-bin/login.cgi?srv=

– Face captura la:
    • Informatii de logare

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: PDLL.dll

    Numele procesului:
   • %toate procesele active%


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Descrizione inserita da Adriana Popa su giovedì 23 novembre 2006
Descrizione aggiornata da Adriana Popa su lunedì 27 novembre 2006

Indietro . . . .