VírusTR/PSW.LDPinch.GKA
Data em que surgiu:24/03/2006
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:116.736 Bytes
MD5 checksum:fcbf84013de305e17f1eb09fd6ecdd71
Versão VDF:6.34.00.91

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Eset: Win32/PSW.LdPinch.NBT


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\%ficheiro executado%



É criado o seguinte ficheiro:

%WINDIR%\ihook.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/PSWLDPinch.GK.1

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "SVCHOST"="%WINDIR%\%ficheiro executado%"



É adicionada a seguinte chave de registo:

– HKCU\Software\Intel
   • "Data"=%informação roubada%

 E-mail Não tem a sua própria rotina de propagação mas tem capacidade para enviar um e-mail. É provável que o destinatário seja o autor. As características são as seguintes:


Formato do email:



De: cooli4@mail.ru
Para: cooli4@mail.ru
Assunto: Passwords from ld-pinch (%nome do computador%)
Body:
   • %informação roubada%

 Roubos de informação Tenta roubar a seguinte informação:

– As palavras-chave dos seguintes programas:
   • ICQ
   • Miranda
   • The Bat!
   • Windows Commander
   • Total Commander
   • Far

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com os seguintes empacotadores de runtime
   • NSPack
   • Obsidium

Descrição enviada por Irina Boldea em quinta-feira, 23 de março de 2006
Descrição atualizada por Irina Boldea em sexta-feira, 24 de março de 2006

Voltar . . . .