Trojan-PSW.Win32.LdPinch.ur

Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя.

Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя. Предназначена для кражи конфиденциальной информации.

Является приложением Windows (PE EXE-файл). Размер известных нам зараженных объектов значительно варьируется в пределах от 21 КБ до 86 КБ. Зараженные объекты упакованы при помощи FSG.

После запуска троянец останавливает и отключает следующие службы:

                 AVPCC
                 Ahnlab task Scheduler
                 alerter
                 AlertManger
                 AVExch32Service
                 avg7alrt
                 avg7updsvc
                 AvgCore
                 AvgFsh
                 AvgServ
                 avpcc
                 AVUPDService
                 AVWUpSrv
                 AvxIni
                 awhost32
                 backweb client - 4476822
                 BackWeb Client - 7681197
                 backweb client-4476822
                 NOD32krn
 

А также запускает поток, который с интервалом в 1 секунду завершает процессы, попадающие в следующий список:

APVDWIN ATUPDATER AUPDATE AUTODOWN AUTOTRACE AUTOUPDATE Avp32 avpcc AVPUPD AVWUPD32 AVXQUAR navpw32 NOD32KUI PAVSRV51 PccPfw VSMON WEBPROXY ZAPRO

Троянец добавляет следующую запись в реестр:

                 [HKLM\System\ControlSet001\Services\SharedAccess\Parameters\
                 FirewallPolicy\StandardProfile\AuthorizedApplications\List]
                  "<путь до троянской программы>"="<путь до троянской программы>:*:Enabled:<имя троянца>"
  

Троянец собирает информацию о жестком диске, количестве свободного места, установленных программах, версии ОС, учетной записи текущего пользователя, типе процессора, системных папках ОС, возможностях экрана.

Также троянец собирает следующую информацию:

  • читает путь к каталогу установки TheBat! в разделе реестра:
     		[HKCU\Software\RIT\The Bat!]
       
  • и ищет в полученном из реестра каталоге файлы:
     
     		account.cfg
     		account.cfn
     
  • читает путь к каталогу ICQ в разделах реестра:
     		[HKLM\Software\Mirabilis\ICQ\DefaultPrefs]
     		[HKCU\Software\Mirabilis\ICQ\DefaultPrefs]
     
    и ищет в полученном из реестра пути файлы с расширением DAT
  • получает значения следующих ключей реестра:
     		[HKCU\Software\Mirabilis\ICQ\NewOwners]
     		[HKLM\Software\Mirabilis\ICQ\NewOwners]
     
  • читает путь к каталогу Miranda в разделе реестра:
     		[HKLM\Software\Miranda]
     
    и ищет в полученном из реестра пути файлы с расширением *.dat
  • ищет в параметрах ключа реестра:
     		[HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache]
     
    параметр с именем &RQ.exe. Если находит, получает его значение и использует для поиска файла andrq.ini
  • получает информацию о существующих в системе dialup-соединениях
  • получает путь к папке установки Trillian из ключа реестра:
     		[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]
     
    читает содержимое файла users\global\profiles.ini, извлекая информацию о текущих профилях пользователя. Также читает имена пользователей и пароли из файла aim.ini
  • получает путь к каталогам Ghisler из следующих ключей реестра:
     		[HKCU\Software\Ghisler\Windows Commander]
     		[HKCU\Software\Ghisler\Total Commander]
     		[HKLM\Software\Ghisler\Windows Commander]
     		[HKLM\Software\Ghisler\Total Commander]
     
    в этих каталогах ищет файл wcx_ftp.ini, в котором ищет следующие параметры и получает их значения:
     		host
     		username
     		password
     		directory
     		method
     
  • получает путь к каталогу из следующего ключа реестра:
     		[HKCU\Software\RimArts\B2\Settings]
     
    ищет в нем файл Mailbox.ini, в котором ищет следующие параметры и получает их значения:
     		UserID
     		MailAddress
     		MailServer
     		PassWd
     
  • достает список записей адресной книги Microsoft Outlook
  • получает значения следующих параметров из файла %WinDir%\edialer.ini:
     		LoginSaved
     		PasswordSaved
     
  • получает список ключей раздела [HKCU\Software\Far\Plugins\FTP\Hosts], в найденных ключах получает значения следующих параметров:
     		HostName
     		User
     		Password
     		Description
     

Собранные данные и содержимое найденных файлов троянец посылает в сжатом виде на электронную почту злоумышленника во вложении report.bin.

Также программа запускает FTP сервер на компьютере пользователя, через который злоумышленник может получить доступ к файлам пользователя.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.