Nume:TR/Onlinegames.B
Descoperit pe data de:19/05/2008
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Nu
Marime:~100.000 Bytes
Versiune IVDF:7.00.04.63 - terça-feira, 20 de maio de 2008

 General Metoda de raspandire:
   • Discuri de retea mapate


Alias:
   •  Mcafee: PWS-LegMir.gen.k
   •  Kaspersky: Trojan-PSW.Win32.OnLineGames.ngm
   •  F-Secure: Trojan-PSW.Win32.OnLineGames.ngm
   •  Grisoft: Worm/AutoRun.Y
   •  Eset: Win32/PSW.OnLineGames.NLI
   •  Bitdefender: Trojan.PWS.OnlineGames.WME

Detectii similare:
   •  TR/Onlinegames.B.%numar%


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\amvo.exe



Scrie pe disc o copie a lui alegand numele fisierului dintr-o lista:
– Catre: %unitate disc%\ Folosind unul din urmatoarele nume:
   • %combinatie de caractere aleatoare%.exe
   • %combinatie de caractere aleatoare%.bat
   • %combinatie de caractere aleatoare%.cmd
   • %combinatie de caractere aleatoare%.com




Sunt create fisierele:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %TEMPDIR%\%combinatie de caractere aleatoare%.sys
   • %TEMPDIR%\%combinatie de caractere aleatoare%.dll

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %TEMPDIR%\%combinatie de caractere aleatoare%.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: RKIT/Vanti

– %TEMPDIR%\%combinatie de caractere aleatoare%.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.NSPM.Gen

– %SYSDIR%\amvo0.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.NSPM.Gen

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • amva = %SYSDIR%\amvo.exe



Urmatoarele chei din registri sunt modificate:

Diverse setari in Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Vechea valoare:
   • Hidden = %setarile utilizatorului%
   • ShowSuperHidden = %setarile utilizatorului%
   Noua valoare:
   • Hidden = 2
   • ShowSuperHidden = 0

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Vechea valoare:
   • CheckedValue = %setarile utilizatorului%
   Noua valoare:
   • CheckedValue = 0

 Furt de informatii Incearca sa obtina urmatoarele informatii:

– Parolele din urmatoarele programe:
   • Maple Story
   • Lineage

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\amvo0.dll

    Numele procesului:
   • explorer.exe

   Daca operatiunea se termina cu succes, malware-ul se opreste din executie, iar componenta injectata ramane activa.

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Andrei Gherman em sexta-feira, 13 de junho de 2008
Descrição atualizada por Andrei Gherman em sexta-feira, 13 de junho de 2008

Voltar . . . .