VírusTR/NSAnti.B.4
Data em que surgiu:28/07/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:47.235 Bytes
MD5 checksum:6fa72cbba8f23eae2797557c704095e5
Versão VDF:6.35.01.15 - sexta-feira, 28 de julho de 2006
Versão IVDF:6.35.01.15 - sexta-feira, 28 de julho de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Symantec: Trojan.PWS.QQPass
   •  Kaspersky: Trojan-PSW.Win32.QQPass.jg
   •  TrendMicro: TSPY_QQPASS.QW
   •  Bitdefender: Trojan.NSAnti.B


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows ME


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\SVOHOST.EXE



Apaga a cópia executada inicialmente.



Elimina os seguintes ficheiros:
   • %SYSDIR%\KAKATOOL.DLL
   • %SYSDIR%\DQHX.TXT



É criado o seguinte ficheiro:

%SYSDIR%\WINSCOK.DLL Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/PSW.QQPass.JG

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "SoundMam"="%SYSDIR%\SVOHOST.exe"



Os valores das seguintes chaves registo do windows são eliminados:

–  HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • RavTask
   • KvMonXP
   • YLive.exe
   • yassistse
   • KAVPersonal50
   • NTdhcp
   • Winhoxt



É adicionada a seguinte chave de registo:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "hx-1"="%número% "



O seguinte valor do registo é alterado:

– HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\
   Folder\Hidden\SHOWALL
   Valor recente:
   • "CheckedValue"="0"

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Ionut Slaveanu em quarta-feira, 9 de agosto de 2006
Descrição atualizada por Andrei Ivanes em segunda-feira, 28 de agosto de 2006

Voltar . . . .