TR/PSW.QQPass.KB.3 - Trojan

In alte limbi

Scurta descriere

Descriere completa

Statistici

Nume:	TR/PSW.QQPass.KB.3
Descoperit pe data de:	22/09/2006
Tip:	Troian
ITW:	Nu
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Scazut spre mediu
Fisier static:	Da
Marime:	54.958 Bytes
MD5:	0749c0c463470Ff3c2ba6bcb0C29a868
Versiune VDF:	6.35.01.115
Versiune IVDF:	6.35.01.116

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Alias:
   • Kaspersky: Trojan-PSW.Win32.QQPass.kb
   • Bitdefender: Trojan.PWS.Qqpass.GO

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Descarca fisiere
   • Creeaza un fisier malware
   • Modificari in registri

Fisiere Se copiaza in urmatoarele locatii:
• %PROGRAM FILES%\Common Files\Microsoft Shared\MSINFO\sysinfo.exe
• %PROGRAM FILES%\Common Files\Microsoft Shared\MSINFO\6hackol.com

Este creat fisierul:

– %PROGRAM FILES%\Common Files\Microsoft Shared\MSINFO\qqdsq2.lmz Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.QQPass.KU

Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}"=""

– [HKCR\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}]
   • @=""

– [HKCR\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32]
   • @="%PROGRAM FILES%\Common Files\Microsoft Shared\MSINFO\qqdsq2.lmz"
   • "ThreadingModel"="Apartment"

Urmatoarea cheie din registri este modificata:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Noua valoare:
   • "Shell"="Explorer.exe "%PROGRAM FILES%\Common Files\Microsoft Shared\MSINFO\sysinfo.exe""

Backdoor Servere contactate:
Urmatoarele:
• http://www.jump.oiwin.cn/**********
• http://www.oiwin.cn/**********

Odata conectat, descarca o alta lista de servere.
Aceasta se face printr-o interogare HTTP GET intr-un script PHP.

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Delphi.

Pentru o descriere scurta click aici.

Descriere introdusa de Monica Ghitun la Fri, 22 Sep 2006 10:26 (GMT+1)
Descriere actualizata de Monica Ghitun la Fri, 22 Sep 2006 12:45 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back