TR/NSAnti.B.9 - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/NSAnti.B.9
Scoperto:	01/08/2006
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	28.816 Byte
Somma di controllo MD5:	051c235f29cb1d2d0Ebc499df81e83e9
Versione VDF:	6.35.01.29
Versione IVDF:	6.35.01.29

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Symantec: Infostealer.Lineage
   • Kaspersky: Trojan-PSW.Win32.QQPass.hd
   • Bitdefender: Trojan.NSAnti.B

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica un file
   • Clona un file “maligno”
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni

File Si copia alla seguente posizione:
• %SYSDIR%\SVCH0ST.EXE

Vengono creati i seguenti file:

– %SYSDIR%\mmdat.dat Questo è un file di testo “non maligno” con il seguente contenuto:
• %directory di esecuzione del malware%\%file eseguiti%

– %SYSDIR%\ntdll32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Spy.Agent.ct.4.A

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
• "SVCHOST"="%SYSDIR%\SVCH0ST.EXE"

Viene aggiunta la seguente chiave di registro:

– HKCR\exefile\shell\open\command
• "(Default)"="%SYSDIR%\SVCH0ST.EXE %1 %*"

Email Non ha una propria procedura di diffusione ma ha la capacità di inviare un'email. Molto probabilmente il ricevente è l'autore. Le caratteristiche sono descritte qui sotto:

Da:
L'indirizzo del mittente è falso.
Il mittente della mail è il seguente:
   • 96262@96262.net <96262@96262.net>

A:
Il destinatario dell'email è il seguente:
   • 665951@QQ.com <665951@QQ.com>

Oggetto:
Il seguente:
   • %stringa di caratteri casuale%

Corpo dell'email:

   • %informazioni sottratte%

L’email si presenta come di seguito:

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password inserite nei campi di input password

– Cattura:
• Informazioni della finestra

Varie Crea i seguenti Mutex:
• "MimaThief"
• "MMSHARED"

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Marius T. Nicolae il Wed, 09 Aug 2006 11:54 (GMT+1)
Descrizione aggiornata da Marius T. Nicolae il Wed, 23 Aug 2006 15:47 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro