Nome del virus:TR/Spy.Goldsteal.A
Scoperto:20/02/2007
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:31.232 Byte
Somma di controllo MD5:4a6f5f4468f69f43fcdb3ee1939dd1d5
Versione VDF:6.37.01.117
Versione IVDF:6.37.01.118 - martedì 20 febbraio 2007

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Sottrae informazioni

 File Vengono creati i seguenti file:

– File “non maligni”:
   • %SYSDIR%\gtalsmx.dll
   • %SYSDIR%\aimsmx.dll
   • %SYSDIR%\ymsgsmx.dll
   • %SYSDIR%\aosmx.dll
   • %SYSDIR%\comcb2.dll
   • %SYSDIR%\srvswc2.dll
   • %SYSDIR%\comcsi5.dll




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://sweetymail.ru/**********
Viene salvato in locale sotto: %WINDIR% Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Small.DBY.AD.1


– La posizione è la seguente:
   • http://sweetymail.ru/**********
Viene salvato in locale sotto: %WINDIR%\mk.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Riconosciuto come: TR/Drop.KBRWS.A


– La posizione è la seguente:
   • http://sweetymail.ru/**********
Viene salvato in locale sotto: %WINDIR%\update.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Riconosciuto come: TR/Drop.Goldun.OM.2

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le informazioni sull'account email sono ottenute dalla chiave di registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Dopo aver visitato un sito web viene avviata una procedura di “tracciamento”:
   • http://www.e-gold.com

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.

Descrizione inserita da Ernest Szocs su lunedì 19 febbraio 2007
Descrizione aggiornata da Andrei Ivanes su giovedì 1 marzo 2007

Indietro . . . .