VírusTR/NSAnti.B.7
Data em que surgiu:29/07/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:42.102 Bytes
MD5 checksum:caf96db786db731ed89d4ec7a7596ea5
Versão VDF:6.35.01.20
Versão IVDF:6.35.01.20

 Vulgarmente    •  Symantec: Trojan.PWS.QQPass
   •  TrendMicro: TSPY_QQPASS.QM
   •  Bitdefender: Trojan.NSAnti.B


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows ME


Efeitos secundários:
   • Descarrega um ficheiro
   • Descarrega um ficheiro malicioso
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %PROGRAM FILES%\Internet Explorer\PLUGINS\system.jmp



Elimina os seguintes ficheiros:
   • %WINDIR%\DESKTOP\WODEXIAOSHIHOUCHAONAORENXINGDESHIHOU
   • %WINDIR%\DESKTOP\WAIOZONGSHICHANGGEHONGWONAHSOUGEHAOXIANGZHEYANGCHANGDEWODEGUXIANGZAIYUANFANG
   • %WINDIR%\DESKTOP\TIANHEIHEITIOOTIANTIANDOUYAONIAIWODEXINSIYOUNICAIBUYAOWENWOCONGNALILAI
   • %WINDIR%\DESKTOP\NPKCRYPT.SYS



É criado o seguinte ficheiro:

%PROGRAM FILES%\Internet Explorer\PLUGINS\system.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/PSW.QQRob.GD

 Registry (Registo do Windows) – HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\
   ShellExecuteHooks
   • "{C9953583-932E-4EA1-A04B-4523AAB72C30}"=""



É adicionada a seguinte chave de registo:

– HKCR\CLSID\{C9953583-932E-4EA1-A04B-4523AAB72C30}\InProcServer32
   • "Default"="%PROGRAM FILES%\Internet Explorer\PLUGINS\system.sys"
   • "ThreadingModel"="Apartment"

 Backdoor Envia informação sobre:
    • Palavras-chave armazenadas

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: %PROGRAM FILES%\Internet Explorer\PLUGINS\system.sys


– Introduz-se a si próprio como uma tarefa num processo.

    Nome do processo:
   • %todos os processo em execução%


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Delphi.

Descrição enviada por Bogdan Iliuta em quarta-feira, 9 de agosto de 2006
Descrição atualizada por Andrei Ivanes em segunda-feira, 14 de agosto de 2006

Voltar . . . .