VírusTR/PSW.WOW.PQ.1
Data em que surgiu:19/02/2007
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Médio
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:19.717 Bytes
MD5 checksum:2e216d6f39d7a805b6fa02e51c967c4b
Versão VDF:6.37.01.112
Versão IVDF:6.37.01.113 - segunda-feira, 19 de fevereiro de 2007

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %TEMPDIR%\svchots.exe



São criados os seguintes ficheiros:

%TEMPDIR%\She1132.dll Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/PSW.WOW.PQ

%TEMPDIR%\~Tm94.tmp.dll Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.Smal.dp.1.D

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Winlogin"="%TEMPDIR%\svchots.exe"

 Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave digitadas em 'campos de entrada de palavras-chave'

– A palavra-chave do seguinte programa:
   • wow.exe

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: %temp%\She1132.dll


– Injeta uma rotina de vigilância num processo.

    Nome do processo:
   • %todos os processo em execução%



–  Introduz o seguinte ficheiro num processo: %temp%\~Tm94.tmp.dll


– Injeta uma rotina de vigilância num processo.

    Nome do processo:
   • %todos os processo em execução%


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • WinUpack

Descrição enviada por Gabriel Mustata em terça-feira, 20 de fevereiro de 2007
Descrição atualizada por Andrei Ivanes em quinta-feira, 1 de março de 2007

Voltar . . . .