TR/NSAnti.B.9 - Trojan

In alte limbi

Scurta descriere

Descriere completa

Statistici

Nume:	TR/NSAnti.B.9
Descoperit pe data de:	01/08/2006
Tip:	Troian
ITW:	Nu
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Scazut spre mediu
Fisier static:	Da
Marime:	28.816 Bytes
MD5:	051c235f29cb1d2d0Ebc499df81e83e9
Versiune VDF:	6.35.01.29
Versiune IVDF:	6.35.01.29

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Alias:
   • Symantec: Infostealer.Lineage
   • Kaspersky: Trojan-PSW.Win32.QQPass.hd
   • Bitdefender: Trojan.NSAnti.B

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Creeaza un fisier
   • Creeaza un fisier malware
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii

Fisiere Se copiaza in urmatoarea locatie:
• %SYSDIR%\SVCH0ST.EXE

Sunt create fisierele:

– %SYSDIR%\mmdat.dat Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
• %directorul de activare malware%\%fisier executat%

– %SYSDIR%\ntdll32.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Spy.Agent.ct.4.A

Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
• "SVCHOST"="%SYSDIR%\SVCH0ST.EXE"

Se adauga in registrii sistemului:

– HKCR\exefile\shell\open\command
• "(Default)"="%SYSDIR%\SVCH0ST.EXE %1 %*"

Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:

De la:
Adresa este falsificata.
Expeditorul email-ului este urmatorul:
   • 96262@96262.net <96262@96262.net>

Catre:
Destinatarul mesajului este:
   • 665951@QQ.com <665951@QQ.com>

Subiect:
Urmatorul:
   • %combinatie de caractere aleatoare%

Corpul email-ului:

   • %informatiile sustrase%

Email-ul arata astfel:

Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare

– Face captura la:
• Informatii legate de fereastra

Alte informatii Creeaza urmatorii mutecsi:
• "MimaThief"
• "MMSHARED"

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Pentru o descriere scurta click aici.

Descriere introdusa de Marius T. Nicolae la Wed, 09 Aug 2006 11:54 (GMT+1)
Descriere actualizata de Marius T. Nicolae la Wed, 23 Aug 2006 15:47 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back