Trojan-PSW.Win32. LdPinch.apz

Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя.

Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя. Предназначена для кражи конфиденциальной информации.

Является приложением Windows (PE EXE-файл). Имеет размер 4573 байта.

Деструктивная активность

После запуска троянец добавляет следующую запись в системный реестр:

[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 "<имя троянской программы>"="<имя троянской программы>:*:Enabled:<имя троянца без расширения>"

Троянец собирает информацию о жестком диске, количестве свободного места на диске C: и учетной записи текущего пользователя.

Также троянец получает значения следующих ключей реестра:

[HKLM\System\CurrentControlSet\Control\ComputerName\ActiveComputerName]
 ComputerName

[HKLM\System\CurrentControlSet\Control\ComputerName\ComputerName]
 ComputerName

Троянец получает список ключей раздела [HKCU\Software\Far\Plugins\FTP\Hosts].

В найденных ключах получает значения следующих параметров:

Description
HostName
Password
User

Также троянец читает путь к каталогу ICQ в следующих разделах реестра:

[HKLM\Software\Mirabilis\ICQ\DefaultPrefs]
[HKCU\Software\Mirabilis\ICQ\DefaultPrefs]

После чего ищет в полученном из реестра пути файлы с расширением dat.

Собранные данные и содержимое найденных файлов троянец посылает в зашифрованном виде на электронную почту злоумышленника asd******@mail.ru во вложении pass.bin.

Если отправить почту не удалось, попытки повторяются каждые 2 минуты на протяжении всего времени работы трояна.