TR/NSAnti.B.9 - Trojan

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	TR/NSAnti.B.9
Data em que surgiu:	01/08/2006
Tipo:	Trojan
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	De baixo a médio
Ficheiro estático:	Sim
Tamanho:	28.816 Bytes
MD5 checksum:	051c235f29cb1d2d0Ebc499df81e83e9
Versão VDF:	6.35.01.29
Versão IVDF:	6.35.01.29

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Symantec: Infostealer.Lineage
   • Kaspersky: Trojan-PSW.Win32.QQPass.hd
   • Bitdefender: Trojan.NSAnti.B

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega um ficheiro
   • Descarrega um ficheiro malicioso
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Informação de roubos

Ficheiros Autocopia-se para a seguinte localização:
• %SYSDIR%\SVCH0ST.EXE

São criados os seguintes ficheiros:

– %SYSDIR%\mmdat.dat É um ficheiro de texto não malicioso com o seguinte conteúdo:
• %directório de execução do malware%\%ficheiro executado%

– %SYSDIR%\ntdll32.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Spy.Agent.ct.4.A

Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
• "SVCHOST"="%SYSDIR%\SVCH0ST.EXE"

É adicionada a seguinte chave de registo:

– HKCR\exefile\shell\open\command
• "(Default)"="%SYSDIR%\SVCH0ST.EXE %1 %*"

E-mail Não tem a sua própria rotina de propagação mas tem capacidade para enviar um e-mail. É provável que o destinatário seja o autor. As características são as seguintes:

De:
O endereço do remetente é falsificado.
O remetente do e-mail é o seguinte:
   • 96262@96262.net <96262@96262.net>

Para:
O destinatário do e-mail é o seguinte:
   • 665951@QQ.com <665951@QQ.com>

Assunto:
O seguinte:
   • %uma série de caracteres aleatórios%

Corpo:

   • % informação roubada%

O email pode ser parecido com o seguinte:

Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave digitadas em 'campos de entrada de palavras-chave'

– Captura:
• Janela de informação

Informações diversas Cria os seguintes Mutexes:
• "MimaThief"
• "MMSHARED"

Detalhes do ficheiro Linguagem de programação:
Ficheiro escrito em MS Visual C++.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Veja aqui uma breve descrição.

Descrição adicionada por Marius T. Nicolae em Wed, 09 Aug 2006 11:54 (GMT+1)
Descrição adicionada por Marius T. Nicolae em Wed, 23 Aug 2006 15:47 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back