Trojan-PSW. Win32.Sinowal.b

Троянская программа, созданная для воровства пользовательских паролей.

Троянская программа, созданная для воровства пользовательских паролей. После запуска устанавливает в систему следующие файлы:

%System%\ibm<пятизначное число>.dll
%System%\ibm<пятизначное число>.exe
%System%\ibm<пятизначное число + 1>.dll

С целью автоматического запуска троянца при старте операционной системы, в реестр добавляется ссылка на исполняемый файл:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 Shell="%System%\ibm<пятизначное число>.exe"

С той же целью модифицируется значение следующего ключа системного реестра:

Нормальный ключ:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
 Shell="explorer.exe"

Модифицированный ключ:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
 Shell="explorer.exe     %System%\ibm<пятизначное число>.exe"
Деструктивная активность

Троянец обладает следующей функциональностью:

  • соединение с интернет-сервером и передача информации посредством HTTP;
  • воровство информации (логины и пароли) с зараженного компьютера;
  • передача украденной информации на удаленный сервер.