Security Lab

Trojan-PSW.Win32.Small.am

Trojan-PSW.Win32.Small.am

Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя.

Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя. Предназначена для кражи паролей на соединения удаленного доступа к интернет с компьютера пользователя и отсылки их на электронную почту злоумышленника.

Программа является приложением Windows (PE EXE-файл). Имеет размер 7168 байт. Упакована при помощи UPX, размер распакованного файла около 23 КБ. Работает только на ОС Windows 9x.

Инсталляция
При запуске программа скрывает себя в списке процессов с помощью скрытой функции ОС Windows 9x: RegisterServiceProcess.

Троянец проверяет входит ли IP адрес машины пользователя в один из нижеприведенных диапазонов:

  	194.158.208.*
  	194.158.209.*
  	194.158.215.*
  	194.158.216.*
  	194.158.217.*
  	194.158.218.*
  	194.158.219.*

Если входит, троянец запускает 100 потоков, которые в цикле перебирают адреса и пытаются подсоединиться ко всем компьютерам сети с адресами, попадающими в один из вышеприведенных диапазонов под учетной записью Administrator. Если пароль на эту учетную запись на удаленном компьютере не установлен и попытка соединения успешна, троянец пытается скопировать пустой файл delete.txt, находящийся в папке трояна в папку на удаленном сетевом компьютере:

<корень учетной записи администратора>\recycled\delete.txt
если это удается, троянец копирует свое тело в папку: 
<корень учетной записи администратора>\WINDOWS\Главное Меню\Программы\Автозагрузка\Scanregw.exe
также копирует файл autorun.inf, находящийся в папке с трояном в папку:

<корень учетной записи администратора<\autorun.inf

При запуске программа ждет соединения с интернет.

Создает в своем каталоге файл autorun.inf следующего содержания:

[autorun]
    open=Scanregw.exe –autorun
На протяжении всей работы троян циклически получает все учетные записи удаленного доступа к интернет с помощью функции RASEnumEntries, а также пароли к ним с помощью скрытой функции ОС Windows 9x: EnumCachedPasswords.

После этого отсылает полученную информацию по электронной почте на ящик злоумышленника.

Письмо имеет следующий вид:

Тема:
RAS
Текст:
-[DIALUP ENTRIES]-
[<Имя учетной записи>] <номер дозвона> | |

-[CACHED PASSWORDS]- <пароль учетной записи> …

-[COPIES SENT]-
< количество отосланных с текущей машины писем>

Также троянец создает следующий ключ в системном реестре:

[HKCU\RemoteAccess] Sent=DWORD:<количество отправленных писем:> LastAccessed=DWORD::<зашифрованное время отправки последнего письма:>

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.

Новости по теме

Хакеры используют картинки для взлома Telegram: не попадитесь на крючок

Конец невидимости F-22: китайские радары наступают на пятки стелс-самолетам

Llama 3 – достойный конкурент для LLM от OpenAI, Google и Anthropic

Дистрибьюторы РФ ультимативно потребовали от кинотеатров прекратить пиратский прокат

PT ISIM: новые возможности для распределенных производственных структур и MSSP

Autodesk блокирует российские аккаунты AutoCAD

Гигабитный интернет от Frontier «превратился в тыкву» после атаки хакеров

Взломщик Mango Markets на скамье подсудимых: 20 лет за $110 млн прибыли

Фиолетовые пришельцы: инопланетная жизнь может быть не такой, как мы её представляем