English
Deutsch
Francais
Español
Italian
Home
Minacce
TR/PSW.QQPass.KB.3
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TR/PSW.QQPass.KB.3 - Trojan
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
TR/PSW.QQPass.KB.3
Scoperto:
22/09/2006
Tipo:
Trojan
In circolazione (ITW):
No
Numero delle infezioni segnalate:
Basso
Potenziale di propagazione:
Basso
Potenziale di danni:
Medio-Basso
File statico:
Si
Dimensione del file:
54.958 Byte
Somma di controllo MD5:
0749c0c463470Ff3c2ba6bcb0C29a868
Versione VDF:
6.35.01.115
Versione IVDF:
6.35.01.116
Generale
Metodo di propagazione:
• Nessuna propria procedura di propagazione
Alias:
• Kaspersky: Trojan-PSW.Win32.QQPass.kb
• Bitdefender: Trojan.PWS.Qqpass.GO
Piattaforme / Sistemi operativi:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Scarica file
• Clona un file “maligno”
• Modifica del registro
File
Si copia alle seguenti posizioni:
•
%PROGRAM FILES%
\Common Files\Microsoft Shared\MSINFO\sysinfo.exe
•
%PROGRAM FILES%
\Common Files\Microsoft Shared\MSINFO\6hackol.com
Viene creato il seguente file:
–
%PROGRAM FILES%
\Common Files\Microsoft Shared\MSINFO\qqdsq2.lmz Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSW.QQPass.KU
Registro
Vengono aggiunte le seguenti chiavi di registro:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks]
• "{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}"=""
– [HKCR\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}]
• @=""
– [HKCR\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32]
• @="
%PROGRAM FILES%
\Common Files\Microsoft Shared\MSINFO\qqdsq2.lmz"
• "ThreadingModel"="Apartment"
Viene cambiata la seguente chiave di registro:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Nuovo valore:
• "Shell"="Explorer.exe "
%PROGRAM FILES%
\Common Files\Microsoft Shared\MSINFO\sysinfo.exe""
Backdoor
Contatta il server:
Tutti i seguenti:
• http://www.jump.oiwin.cn/**********
• http://www.oiwin.cn/**********
Una volta connesso recupera una lista di server supplementare.
Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.
Dettagli del file
Linguaggio di programmazione:
Il malware è stato scritto in Delphi.
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Monica Ghitun il Fri, 22 Sep 2006 10:26 (GMT+1)
Descrizione aggiornata da Monica Ghitun il Fri, 22 Sep 2006 12:45 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
Worm/Mytob.AT
TR/Crypt.CFI.Gen
Worm/Mytob.U
Worm/Mytob.AD
Worm/Klez.E
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
JS/Dldr.Agent.cex
TR/Dldr.Tiny.bqw
© 2008 Avira GmbH
Copyright
Protezione dei dati
Mappa del sito
Feedback
Informazione legale
FAQ
Contatti
Minacce TR/PSW.QQPass.KB.3
Stampa questa pagina
