Nome del virus:TR/PSW.WOW.JG
Scoperto:10/01/2007
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:56.320 Byte
Somma di controllo MD5:4f5d37087939b9d4e1199d87737c3e07
Versione VDF:6.36.00.060
Versione IVDF:6.36.00.073

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: PWS-Hook.dll
   •  Kaspersky: Trojan-PSW.Win32.WOW.jg
   •  Sophos: Troj/Hook-Gen
   •  Grisoft: PSW.Generic2.LEU
   •  Bitdefender: Generic.PWStealer.0F6BD06A


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Sottrae informazioni

 Backdoor Contatta il server:
Tutti i seguenti:
   • http://www.cn1.grunt.wowchina.**********
   • http://www.cn2.grunt.wowchina.**********
   • http://www.cn3.grunt.wowchina.**********
   • http://www.cn4.grunt.wowchina.**********
   • http://www.cn5.grunt.wowchina.**********
   • http//:www.cn6.grunt.wowchina.**********

Come risultato può inviare alcune informazioni. Questo è fatto tramite il metodo HTTP POST utilizzando uno script PHP.


Invia informazioni riguardanti:
    • Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password inserite nei campi di input password

– La seguente chiave CD:
   • World of Warcraft

– Dopo aver visitato un sito web viene avviata una procedura di “tracciamento”:
   • http://www.us.logon.worldofwarcraft.com

– Cattura:
    • Informazioni di login

 Varie Mutex:
Crea il seguente Mutex:
   • HGFSMUTEX

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Monica Ghitun su mercoledì 10 gennaio 2007
Descrizione aggiornata da Monica Ghitun su mercoledì 10 gennaio 2007

Indietro . . . .