Имя:TR/PSW.Viking.A
Обнаружен:27/11/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:80.896 байт.
Контрольная сумма MD5:ef23dd7d7d60a9721f3d8bf6d0ed4a78
Версия VDF:6.36.01.88
Версия IVDF:6.36.01.92 - понедельник, 27 ноября 2006 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: PWS-Gamania
   •  Kaspersky: Trojan-PSW.Win32.Hangame.cl
   •  F-Secure: Trojan-PSW.Win32.Hangame.cl
   •  Bitdefender: Win32.AV-Killer

Ранее были обнаружены как:
   •  Worm/Viking.A


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файл
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %PROGRAM FILES%\Windows Media Player\svchost.exe



Выполненная копия программы удаляется.



Создаются следующие файлы:

– Файл предназначен для временного использования и может быть удален.
   • %TEMPDIR%\$$c%Шестнадцатиричное число%.tmp

%SYSDIR%\PDLL.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/PSW.Lineage.anb

%TEMPDIR%\$$c%Шестнадцатиричное число%.tmp.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.

 Реестр Изменяется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Прежнее значение:
   • "Userinit"="%SYSDIR%\userinit.exe,"
   Новое значение:
   • "Userinit"="%SYSDIR%\userinit.exe,%PROGRAM FILES%\Windows Media Player\svchost.exe,"

 Кража Попытка кражи следующей информации:

– Пароль программы:
   • Lineage

– После посещения следующей веб-страницы была запущена функция протоколирования:
   • http://tw.login.yahoo.com/cgi-bin/login.cgi?srv=

– Протоколируется:
    • Регистрационная информация

 Инфицирование –  Следующий файл вставляется в процесс: PDLL.dll

    Имя процесса:
   • %все активные процессы%


 Данные файла Язык программирования:
 Программа была написана на Delphi.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Adriana Popa в(о) четверг, 23 ноября 2006 г.
Описание обновил Adriana Popa в(о) понедельник, 27 ноября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.