Trojan-PSW.Win32.Small.am

Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя.

Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя. Предназначена для кражи паролей на соединения удаленного доступа к интернет с компьютера пользователя и отсылки их на электронную почту злоумышленника.

Программа является приложением Windows (PE EXE-файл). Имеет размер 7168 байт. Упакована при помощи UPX, размер распакованного файла около 23 КБ. Работает только на ОС Windows 9x.

Инсталляция
При запуске программа скрывает себя в списке процессов с помощью скрытой функции ОС Windows 9x: RegisterServiceProcess.

Троянец проверяет входит ли IP адрес машины пользователя в один из нижеприведенных диапазонов:

	194.158.208.*
	194.158.209.*
	194.158.215.*
	194.158.216.*
	194.158.217.*
	194.158.218.*
	194.158.219.*
  

Если входит, троянец запускает 100 потоков, которые в цикле перебирают адреса и пытаются подсоединиться ко всем компьютерам сети с адресами, попадающими в один из вышеприведенных диапазонов под учетной записью Administrator. Если пароль на эту учетную запись на удаленном компьютере не установлен и попытка соединения успешна, троянец пытается скопировать пустой файл delete.txt, находящийся в папке трояна в папку на удаленном сетевом компьютере:

<корень учетной записи администратора>\recycled\delete.txt
если это удается, троянец копирует свое тело в папку:
<корень учетной записи администратора>\WINDOWS\Главное Меню\Программы\Автозагрузка\Scanregw.exe
также копирует файл autorun.inf, находящийся в папке с трояном в папку:

<корень учетной записи администратора<\autorun.inf

При запуске программа ждет соединения с интернет.

Создает в своем каталоге файл autorun.inf следующего содержания:

[autorun]
  open=Scanregw.exe –autorun
На протяжении всей работы троян циклически получает все учетные записи удаленного доступа к интернет с помощью функции RASEnumEntries, а также пароли к ним с помощью скрытой функции ОС Windows 9x: EnumCachedPasswords.

После этого отсылает полученную информацию по электронной почте на ящик злоумышленника.

Письмо имеет следующий вид:

Тема:
RAS
Текст:
-[DIALUP ENTRIES]-
[<Имя учетной записи>] <номер дозвона> | |

-[CACHED PASSWORDS]- <пароль учетной записи> …

-[COPIES SENT]-
< количество отосланных с текущей машины писем>

Также троянец создает следующий ключ в системном реестре:

[HKCU\RemoteAccess] Sent=DWORD:<количество отправленных писем:> LastAccessed=DWORD::<зашифрованное время отправки последнего письма:>