English
Deutsch
Francais
Español
Italian
Home
Virus Info
TR/PSW.QQPass.WM.5
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TR/PSW.QQPass.WM.5 - Trojan
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
TR/PSW.QQPass.WM.5
Обнаружен:
11/05/2007
Вид:
Троянская программа
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Низкий
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
30.919 байт.
Контрольная сумма MD5:
ea9ac605c283860A75fc78d05aa04602
Версия VDF:
6.38.01.133
Версия IVDF:
6.38.01.139
Общее
Метод распространения:
• Нет собственной процедуры распространения
Псевдонимы (аliases):
• Kaspersky: Trojan-PSW.Win32.QQPass.wm
• F-Secure: Trojan-PSW.Win32.QQPass.wm
• Eset: Win32/PSW.QQPass.VD
Операционные системы:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Загружает файлы
• Создает потенциально опасный файл
• Изменение реестра
• Похищает информацию
Файлы
Создается собственная копия:
•
%PROGRAM FILES%
\Internet Explorer\PLUGINS\system32.jmp
Создается файл:
–
%PROGRAM FILES%
\Internet Explorer\PLUGINS\System64.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой.
Попытка загрузки следующих файлов:
– Следующие URL:
• http://th.wzxqy.com/**********/wl.exe
• http://th.wzxqy.com/**********/cq.exe
• http://th.wzxqy.com/**********/my.exe
• http://th.wzxqy.com/**********/wm.exe
• http://th.wzxqy.com/**********/gz.exe
• http://th.wzxqy.com/**********/hx.exe
• http://th.wzxqy.com/**********/qj.exe
• http://th.wzxqy.com/**********/tl.exe
• http://th.wzxqy.com/**********/wd.exe
• http://th.wzxqy.com/**********/js.exe
• http://th.wzxqy.com/**********/1.exe
• http://th.wzxqy.com/**********/2.exe
• http://th.wzxqy.com/**********/3.exe
• http://th.wzxqy.com/**********/4.exe
• http://th.wzxqy.com/**********/5.exe
• http://th.wzxqy.com/**********/6.exe
На момент проверки данный файл не был доступен.
Реестр
Добавляются следующие ключи реестра:
– [HKCU\Software\Tencent]
– [HKCU\Software\Tencent\Hooker]
• First = wk
– [HKCR\CLSID\{754FB7D8-B8FE-4810-B363-A788CD060F1F}]
• @=
– [HKCR\CLSID\{754FB7D8-B8FE-4810-B363-A788CD060F1F}\InProcServer32]
• @ =
%PROGRAM FILES%
\Internet Explorer\PLUGINS\System64.sys
• ThreadingModel = Apartment
Изменяется следующий ключ реестра:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks]
Новое значение:
• {754FB7D8-B8FE-4810-B363-A788CD060F1F} =
Кража
Попытка кражи следующей информации:
– Пароль программы:
• QQ
Инфицирование
– Следующий файл вставляется в процесс: system64.sys
Имя процесса:
•
%все активные процессы%
При успешном выполнении вредоносная программа завершается. Инфицированная часть остается при этом активной.
Данные файла
Язык программирования:
Программа была написана на Delphi.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX
Краткое описание см.
здесь
.
Описание добавлено: Andrei Gherman Fri, 11 May 2007 09:53 (GMT+1)
Описание обновлено: Andrei Gherman Mon, 14 May 2007 12:57 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.CFI.Gen
Worm/Mytob.AD
Worm/Kidala.G
Worm/Mytob.BF
Worm/Mytob.AT
TR/Spy.ZBot.DFR
TR/VB.aei
EXP/Java.Gimsh.A.40
TR/Agent.vgo
SPR/ASF.GetCodec.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info TR/PSW.QQPass.WM.5
Print this page
.gif)
