Полное описание

Имя:	TR/PSW.OnLineGames.O
Обнаружен:	02/10/2006
Вид:	Троянская программа
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	62.529 байт.
Контрольная сумма MD5:	a50C61d13927cf87705727193010f40A
Версия VDF:	6.36.00.73
Версия IVDF:	6.36.00.88 - вторник, 10 октября 2006 г.

Общее Псевдонимы (аliases):
   • Kaspersky: Trojan-PSW.Win32.OnLineGames.o
   • TrendMicro: TSPY_LINEAGE.BNY
   • Sophos: Troj/Lineag-DIP

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Последствия:
   • Создает потенциально опасный файл
   • Изменение реестра
   • Похищает информацию

Файлы Создается собственная копия:
• %SYSDIR%\newFiles.exe

Создается файл:

– %SYSDIR%\winewfile.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/PSW.OnLineGames.D

Реестр Добавляются следующие ключи реестра:

– HKCR\CLSID\{B91C5CD8-78E0-4D29-BC75-6D9E075D6763}
   • @="FIVEHOOK"

– KEY_CLASSES_ROOT\CLSID\{B91C5CD8-78E0-4D29-BC75-6D9E075D6763}\
   InProcServer32
   • @="%SYSDIR%\winewfile.dll"
   • "ThreadingModel"="Apartment"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks
   • "{B91C5CD8-78E0-4D29-BC75-6D9E075D6763}"=""

Кража Попытка кражи следующей информации:
– Введенные в поле пароля символы

Инфицирование – Следующий файл вставляется в процесс: %SYSDIR%\winewfile.dll

    Имя процесса:
   • %каждый вновь запущенный процесс
      после определения находящихся в
      памяти активных потенциально опасных
      программ%

   При успешном выполнении вредоносная программа завершается. Инфицированная часть остается при этом активной.

Разное Мьютекс:
Создается мьютекс:
• TFMHRExeMutex

Данные файла Язык программирования:
Программа была написана на Delphi.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Bogdan Iliuta в(о) пятница, 20 октября 2006 г.
Описание обновил Bogdan Iliuta в(о) пятница, 27 октября 2006 г.

Назад . . . .