Trojan-PSW.Win32.LdPinch.ur

Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя.

Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя. Предназначена для кражи конфиденциальной информации.

Является приложением Windows (PE EXE-файл). Размер известных нам зараженных объектов значительно варьируется в пределах от 21 КБ до 86 КБ. Зараженные объекты упакованы при помощи FSG.

После запуска троянец останавливает и отключает следующие службы:

                AVPCC
                Ahnlab task Scheduler
                alerter
                AlertManger
                AVExch32Service
                avg7alrt
                avg7updsvc
                AvgCore
                AvgFsh
                AvgServ
                avpcc
                AVUPDService
                AVWUpSrv
                AvxIni
                awhost32
                backweb client - 4476822
                BackWeb Client - 7681197
                backweb client-4476822
                NOD32krn

А также запускает поток, который с интервалом в 1 секунду завершает процессы, попадающие в следующий список:

APVDWIN ATUPDATER AUPDATE AUTODOWN AUTOTRACE AUTOUPDATE Avp32 avpcc AVPUPD AVWUPD32 AVXQUAR navpw32 NOD32KUI PAVSRV51 PccPfw VSMON WEBPROXY ZAPRO

Троянец добавляет следующую запись в реестр:

                [HKLM\System\ControlSet001\Services\SharedAccess\Parameters\
                FirewallPolicy\StandardProfile\AuthorizedApplications\List]
                 "<путь до троянской программы>"="<путь до троянской программы>:*:Enabled:<имя троянца>"
 

Троянец собирает информацию о жестком диске, количестве свободного места, установленных программах, версии ОС, учетной записи текущего пользователя, типе процессора, системных папках ОС, возможностях экрана.

Также троянец собирает следующую информацию:

  • читает путь к каталогу установки TheBat! в разделе реестра:
    		[HKCU\Software\RIT\The Bat!]
      
  • и ищет в полученном из реестра каталоге файлы:
     
    		account.cfg
    		account.cfn
    
  • читает путь к каталогу ICQ в разделах реестра:
    		[HKLM\Software\Mirabilis\ICQ\DefaultPrefs]
    		[HKCU\Software\Mirabilis\ICQ\DefaultPrefs]
    
    и ищет в полученном из реестра пути файлы с расширением DAT
  • получает значения следующих ключей реестра:
    		[HKCU\Software\Mirabilis\ICQ\NewOwners]
    		[HKLM\Software\Mirabilis\ICQ\NewOwners]
    
  • читает путь к каталогу Miranda в разделе реестра:
    		[HKLM\Software\Miranda]
    
    и ищет в полученном из реестра пути файлы с расширением *.dat
  • ищет в параметрах ключа реестра:
    		[HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache]
    
    параметр с именем &RQ.exe. Если находит, получает его значение и использует для поиска файла andrq.ini
  • получает информацию о существующих в системе dialup-соединениях
  • получает путь к папке установки Trillian из ключа реестра:
    		[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]
    
    читает содержимое файла users\global\profiles.ini, извлекая информацию о текущих профилях пользователя. Также читает имена пользователей и пароли из файла aim.ini
  • получает путь к каталогам Ghisler из следующих ключей реестра:
    		[HKCU\Software\Ghisler\Windows Commander]
    		[HKCU\Software\Ghisler\Total Commander]
    		[HKLM\Software\Ghisler\Windows Commander]
    		[HKLM\Software\Ghisler\Total Commander]
    
    в этих каталогах ищет файл wcx_ftp.ini, в котором ищет следующие параметры и получает их значения:
    		host
    		username
    		password
    		directory
    		method
    
  • получает путь к каталогу из следующего ключа реестра:
    		[HKCU\Software\RimArts\B2\Settings]
    
    ищет в нем файл Mailbox.ini, в котором ищет следующие параметры и получает их значения:
    		UserID
    		MailAddress
    		MailServer
    		PassWd
    
  • достает список записей адресной книги Microsoft Outlook
  • получает значения следующих параметров из файла %WinDir%\edialer.ini:
    		LoginSaved
    		PasswordSaved
    
  • получает список ключей раздела [HKCU\Software\Far\Plugins\FTP\Hosts], в найденных ключах получает значения следующих параметров:
    		HostName
    		User
    		Password
    		Description
    

Собранные данные и содержимое найденных файлов троянец посылает в сжатом виде на электронную почту злоумышленника во вложении report.bin.

Также программа запускает FTP сервер на компьютере пользователя, через который злоумышленник может получить доступ к файлам пользователя.