Full description

Nume:	TR/PSW.Maran.G.5
Descoperit pe data de:	02/08/2006
Tip:	Troian
ITW:	Nu
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Scazut spre mediu
Fisier static:	Da
Marime:	52.599 Bytes
MD5:	c851c808d7a10F0E45a7f0771b152a64
Versiune VDF:	6.35.01.35
Versiune IVDF:	6.35.01.35

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Creeaza fisiere
   • Creeaza fisiere malware
   • Modificari in registri
   • Sustrage informatii

Fisiere Sterge copia initiala a virusului.

Sunt create fisierele:

– Un fisier temporar care poate fi sters dupa aceea:
• %SYSDIR%\sporder.dll

– %SYSDIR%\gzfmxp.dll
– %SYSDIR%\hjxrbpv.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.Maran.M

– %SYSDIR%\narbpv.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.Maran.M.1

– %SYSDIR%\xprasu.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.Maran.M.2

– %SYSDIR%\xpvlporn.dll Analiza ulterioara a relevat ca si acest fisier este malware.

Registrii sistemului Se adauga in registrii sistemului:

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000013
   • "PackedCatalogItem"=%SYSDIR%\xprasu.dll%valori hex%

Urmatoarele chei din registri sunt modificate:

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9
   Noua valoare:
   • "Serial_Access_Num"=word:00000006
     "Next_Catalog_Entry_ID"=word:000003f6
     "Num_Catalog_Entries"=word:0000000d

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000012
   Noua valoare:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valori hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000011
   Noua valoare:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valori hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000010
   Noua valoare:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll.6%valori hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000009
   Noua valoare:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll.6%valori hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000008
   Noua valoare:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valori hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000007
   Noua valoare:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valori hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000006
   Noua valoare:
   • "PackedCatalogItem"=%SystemRoot%\system32\rsvpsp.dll%valori hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000005
   Noua valoare:
   • "PackedCatalogItem"=%SystemRoot%\system32\rsvpsp.dll%valori hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000004
   Noua valoare:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valori hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000003
   Noua valoare:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valori hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000002
   Noua valoare:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valori hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000001
   Noua valoare:
   • "PackedCatalogItem"=%SYSDIR%\xprasu.dll%valori hex%

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Delphi.

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Marius T. Nicolae em segunda-feira, 18 de setembro de 2006
Descrição atualizada por Andrei Ivanes em quarta-feira, 18 de outubro de 2006

Voltar . . . .

Proteçao especial para PCs

Produtos gratuitos

Produtos mais populares

Todos os produtos

Soluçoes em pacote

Estaçoes de trabalho

Server

Soluçoes em pacote

Mail Gateways

Web Gateways

Plataformas de colaboraçao

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas