Nome del virus:TR/PSW.WOW.PQ.1
Scoperto:19/02/2007
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:19.717 Byte
Somma di controllo MD5:2e216d6f39d7a805b6fa02e51c967c4b
Versione VDF:6.37.01.112
Versione IVDF:6.37.01.113 - lunedì 19 febbraio 2007

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %TEMPDIR%\svchots.exe



Vengono creati i seguenti file:

%TEMPDIR%\She1132.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSW.WOW.PQ

%TEMPDIR%\~Tm94.tmp.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Smal.dp.1.D

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Winlogin"="%TEMPDIR%\svchots.exe"

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password inserite nei campi di input password

– La password dal seguente programma:
   • wow.exe

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %temp%\She1132.dll


– Inserisce una procedura di “process watching” in un processo.

    Nome del processo:
   • %tutti i processi in esecuzione%



–  Inserisce il seguente file in un processo: %temp%\~Tm94.tmp.dll


– Inserisce una procedura di “process watching” in un processo.

    Nome del processo:
   • %tutti i processi in esecuzione%


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • WinUpack

Descrizione inserita da Gabriel Mustata su martedì 20 febbraio 2007
Descrizione aggiornata da Andrei Ivanes su giovedì 1 marzo 2007

Indietro . . . .