Security Lab

Trojan-PSW.Win32.LdPinch.abm

Trojan-PSW.Win32.LdPinch.abm

Троянская программа. Предназначена для кражи конфиденциальной информации.

Троянская программа. Предназначена для кражи конфиденциальной информации. Похищает логины и пароли для различных сервисов и программ. Содержит встроенный SMTP-сервер.

Является приложением Windows (PE EXE-файл). Написана на языке С++. Размер исполняемого файла — 58410 байт.

Инсталляция

После запуска троянец копирует себя в корневой каталог Windows с оригинальным именем запускаемого файла:

%Windir%\<оригинальное имя троянца>.exe

При этом оригинальный запускаемый файл удаляется.

Чтобы запускаться при старте операционной системы, троянец добавляет ссылку на этот файл в ключи автозапуска системного реестра:

 
  [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
   "putil"="%Windir%\<оригинальное имя троянца>.exe"

Троян отображается как процесс <оригинальное имя троянца>.exe в диспетчере задач.

Деструктивная активность

В процессе своей деятельности троянская программа сканирует следующие ветви системного реестра и из соответствующих программ пытается похитить сохраненные пароли:

  [HKEY_LOCAL_MACHINE\Software\Ghisler\Total Commander]
  [HKEY_LOCAL_MACHINE\Software\Ghisler\Windows Commander]
  [HKEY_LOCAL_MACHINE\Software\Ghisler]
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\&RQ]
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]
  [HKEY_LOCAL_MACHINE\Software\Mirabilis\ICQ\DefaultPrefs]
  [HKEY_LOCAL_MACHINE\Software\Mirabilis\ICQ]
  [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run]
  [HKEY_LOCAL_MACHINE\Software\Mirabilis]
  [HKEY_LOCAL_MACHINE\Software\Miranda]
  [HKEY_USERS\.Default\Software\Far\Plugins\FTP\Hosts]
  [HKEY_USERS\.Default\Software\Far\Plugins\FTP]
  [HKEY_USERS\.Default\Software\Far\Plugins]
  [HKEY_USERS\.Default\Software\Far]
  [HKEY_USERS\.Default\Software\Ghisler\Total Commander]
  [HKEY_USERS\.Default\Software\Ghisler\Windows Commander]
  [HKEY_USERS\.Default\Software\Microsoft\Internet Account Manager\Accounts]
  [HKEY_USERS\.Default\Software\Microsoft\Internet Account Manager]
  [HKEY_USERS\.Default\Software\Mirabilis\ICQ\DefaultPrefs]
  [HKEY_USERS\.Default\Software\Mirabilis\ICQ\NewOwners]
  [HKEY_USERS\.Default\Software\Mirabilis\ICQ\NewOwners]
  [HKEY_USERS\.Default\Software\Mirabilis\ICQ]
  [HKEY_USERS\.Default\Software\Mirabilis]
  [HKEY_USERS\.Default\Software\RIT\The Bat!]
  [HKEY_USERS\.Default\Software\RIT]

Похищенную информацию программа периодически отправляет на электронный адрес злоумышленника.

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!