Nome del virus:TR/PSW.QQPass.KB.6
Scoperto:03/01/2007
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:44.567 Byte
Somma di controllo MD5:211906c1daa0af3724385a37d0d23a7b
Versione VDF:6.35.01.172
Versione IVDF:6.35.01.176 - lunedì 4 settembre 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-PSW.Win32.QQPass.kb
   •  Sophos: Troj/QQPass-ABX
   •  Grisoft: PSW.Generic2.FTI
   •  Eset: Win32/PSW.QQPass.KB
   •  Bitdefender: Backdoor.Maxi.A


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file
   • Clona un file “maligno”
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %PROGRAM FILES%\Common Files\Microsoft Shared\MSINFO\sysinfo.exe
   • %PROGRAM FILES%\Common Files\Microsoft Shared\MSINFO\6hackol.com



Viene creato il seguente file:

%PROGRAM FILES%\Common Files\Microsoft Shared\MSINFO\qqdsq2.lmz Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSW.QQShou.IE

 Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{08315C1A-9BA9-4B7C-A432-26885F9QQDSQ}"=""

– [HKCR\CLSID\{08315C1A-9BA9-4B7C-A432-26885F9QQDSQ}]
   • @=""

– [HKCR\CLSID\{08315C1A-9BA9-4B7C-A432-26885F9QQDSQ}\InProcServer32]
   • @="%PROGRAM FILES%\Common Files\Microsoft Shared\MSINFO\qqdsq2.lmz"
   • "ThreadingModel"="Apartment"



Viene cambiata la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuovo valore:
   • "Shell"="Explorer.exe "%PROGRAM FILES%\Common Files\Microsoft Shared\MSINFO\sysinfo.exe""

 Backdoor Contatta il server:
Tutti i seguenti:
   • http://www.jump.oiwin.cn/**********
   • http://www.dl3.jpqqd.**********

Una volta connesso recupera una lista di server supplementare.
Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.

Descrizione inserita da Monica Ghitun su mercoledì 3 gennaio 2007
Descrizione aggiornata da Monica Ghitun su mercoledì 3 gennaio 2007

Indietro . . . .