VírusTR/PSW.QQSniff
Data em que surgiu:14/02/2007
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:663.552 Bytes
MD5 checksum:942f3e57afa5bbc09649fb79db8585d7
Versão VDF:6.37.01.91
Versão IVDF:6.37.01.92 - quarta-feira, 14 de fevereiro de 2007

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Informação de roubos

 Ficheiros É criado o seguinte ficheiro:

– Ficheiro não malicioso:
   • %raiz da unidade de sistema%\qqpass.txt

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "testwk1"="%directório de execução do malware%\%malware filename%"



São adicionadas as seguintes chaves ao registo:

– [HKCR\CLSID\{A5CA0D8F-FC23-B555-3B71-40973B714097}\InprocServer32]
   • "(Default)"="ole32.dll"

– [HKCR\CLSID\{A5CA0D8F-FC23-B555-3B71-40973B714097}]
   • "(Default)"="PointerMoniker"

– [HKLM\Software\Licenses]
   • "{0641C1F5CF28E8696}"=%valores hex%
   • "{I641C1F5CF28E8696}"=%valores hex%
   • "{K7C0DB872A3F777C0}"=%valores hex%
   • "{R7C0DB872A3F777C0}"=%valores hex%

 Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave digitadas em 'campos de entrada de palavras-chave'

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • Armadillo

Descrição enviada por Gabriel Mustata em quarta-feira, 14 de fevereiro de 2007
Descrição atualizada por Andrei Ivanes em quarta-feira, 28 de fevereiro de 2007

Voltar . . . .