Trojan-PSW.Win32. LdPinch.azw

Троянская программа, ворующая конфиденциальную информацию.

Троянская программа, ворующая конфиденциальную информацию.

Является приложением Windows (PE EXE-файл). Имеет размер 24384 байта. Упакована при помощи MEW, распакованный размер — около 340 КБ. Написана на ассемблере.

Деструктивная активность

После запуска троянец добавляет следующую запись в системный реестр:

[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]
"<имя троянской программы>"="<имя троянской программы>:*
:Enabled:<имя троянца без расширения>"

Троянец собирает информацию о жестком диске, количестве свободного места на нем, учетной записи текущего пользователя, сетевом имени компьютера, версии операционной системы, типе процессора, возможностях экрана, установленных на компьютере программах и существующих в системе dialup-соединениях.

Троянец непрерывно ищет в системе окна с именами класса AVP.AlertDialog, AVP.AhAppChangedDialog, AVP.AhLearnDialog и имитирует в них нажатия на кнопки «Разрешить», Allow, Skip, «Создать правило», Apply to all, Remember this action. Также закрывает окна с именем класса AVP.Product_Notification.

Троянец непрерывно ищет в системе окна с заголовком, содержащим следующие строки: «Kaspersky Anti-Hacker — Создать правило для» или «Kaspersky Anti-Hacker - Create a rule for» и имитирует нажатия на кнопку «Разрешить однократно» или «Allow Once».

Также троянская программа имитирует нажатия на кнопку OK в окнах с заголовками:

Внимание: некоторые компоненты изменились
Warning: Components Have Changed
Скрытый процесс запрашивает сетевой доступ
Hidden Process Requests Network Access
Создать правило для IEXPLORE.EXE
Create rule for IEXPLORE.EXE

Троянец ищет файлы:

account.cfg
account.cfn

в следующих папках:

%UserProfile%\Application Data\BatMail
%UserProfile%\Application Data\The Bat!

а так же в папках, на которые указывают параметры ключа реестра:

[HKCU\Software\RIT\The Bat!]
Working Directory
ProgramDir

и похищает их содержимое.

Троянец получает из реестра путь к установленному Mirabilis ICQ, ищет в его папке файлы с расширением DAT и похищает их содержимое.

Также получает значения следующих ключей реестра:

[HKCU\Software\Mirabilis\ICQ\NewOwners]
[HKLM\Software\Mirabilis\ICQ\NewOwners]

Троянская программа считывает путь к установленой Miranda из раздела реестра:

[HKLM\Software\Miranda]
Install_Dir

ищет в нем файлы с расширением DAT и похищает их содержимое.

Также троянец ищет в параметрах ключа реестра:

[HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache]

параметр с именем RQ.exe и RAT.exe. И если находит, получает его значение и использует для поиска файла andrq.ini.

Если нет, - то получает значение ключа реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\&RQ]
UninstallString

и использует его для поиска файла andrq.ini.

Троянец получает путь к папке с установленным Trillian из ключа реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]

читает содержимое файла users\global\profiles.ini, извлекая информацию о текущих профилях пользователя. Также читает имена пользователей и пароли из файла aim.ini.

Также троянец получает путь к папке с установленным Total Commander из следующих ключей реестра:

[HKCU\Software\Ghisler\Windows Commander]
[HKCU\Software\Ghisler\Total Commander]
[HKLM\Software\Ghisler\Windows Commander]
[HKLM\Software\Ghisler\Total Commander]

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander]
UninstallString

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander XP]
UninstallString

[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache]
Totalcmd.exe

В этой папке, а также в папке %WinDir% ищет файл wcx_ftp.ini. Также ищет файл <папка с установленным Windows Commander>\Profiles\Prof\ftp.ini. В этих файлах троянец ищет следующие параметры и получает их значения:

host
username
password
directory
method

Троянская программа получает путь к папке из следующего ключа реестра:

[HKCU\Software\RimArts\B2\Settings]

Ищет в ней файл Mailbox.ini, в котором ищет следующие параметры и получает их значения:

UserID
MailAddress
MailServer
PassWd

Троянец получает список записей адресной книги а так же пароли на учетные записи Microsoft Outlook из ключа реестра:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\
Profiles\Outlook]

Троянец получает пути к установленным CuteFTP и CuteFTP Professional, ищет в них нижеприведенные файлы и похищает их содержимое:

sm.dat
tree.dat
smdata.dat

Троянец получает значения следующих параметров из файла %WinDir%\edialer.ini:

LoginSaved
PasswordSaved

Троянская программа получает список ключей раздела [HKCU\Software\Far\Plugins\FTP\Hosts], в найденных ключах получает значения следующих параметров:

HostName
User
Password
Description

Троянец читает из реестра путь к установленному браузеру Opera и ищет в его папке, а также по указанному ниже пути файл \profile\wand.dat и похищает его содержимое:

%UserProfile%\Application Data\Opera

Получает из реестра путь к установленному браузеру Mozilla и похищает содержимое всех файлов в папке Profiles.

Троянец получает путь к программе QIP из указанного ниже ключа реестра и ищет в его папке в подпапке Users все имеющиеся папки:

[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam]
"qip.exe"

После чего читает из файлов Config.ini расположенных в этих папках следующие значения:

Password
NPass

Троянец читает содержимое файла %UserProfile%\Application Data\Thunderbird\Profiles.ini и извлекает из него пути к профилям, по которым далее ищет файлы signons.txt и prefs.js и получает их содержимое.

Получает значения всех подключей ключа реестра:

[HKCU\Software\Mail.Ru\Agent\mra_logins]

Троянец читает из файла %UserProfile%\Application Data\Qualcomm\Eudora\Eudora.ini следующие параметры:

RealName
ReturnAddress
PopServer
LoginName
SavePasswordText

Читает путь к папке с установленным Punto Switcher из приведенного ниже ключа реестра и читает содержимое файла diary.dat:

[HKCU\Software\Punto Switcher]

Читает значения файла %UserProfile%\Application Data\.gaim\accounts.xml

Троянец похищает содержимое файлов, которые находятся в профилях Firefox.

Также получает путь к папке с установленным FileZilla из ниже приведенного ключа реестра и похищает содержимое файла FileZilla.xml:

[HKCU\Software\FileZilla]
Install_Dir

Получает из реестра путь к папке с FlashFXP и похищает содержимое файла Sites.dat.

Троянец похищает содержимое файлов:

%WinDir%\VD3User.dat
%WinDir%\Vd3main.dat

Также похищает содержимое файлов:

%UserProfile%\Application Data\SmartFTP\Client 2.0\Favorites\ Favorites.dat
%UserProfile%\Application Data\SmartFTP\Favorites.dat
%UserProfile%\Application Data\SmartFTP\History.dat

Похищает следующие значения

HostName
Port
Username
Password
ItemName

из подключей ключа реестра:

[HKCU\Software\CoffeeCup Software\Internet\Profiles]

Троянская программа читает значение параметра в ключе реестра:

[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam]
USDownloader.exe

И использует его для поиска нижеприведенных файлов, содержимое которых похищает:

USDownloader.lst
Depositfilesl.txt
Megauploadl.txt
Rapidsharel.txt

Троянец читает значение параметра в ключе реестра:

[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam]
rapget.exe

И использует его для поиска нижеприведенных файлов, содержимое которых похищает:

rapget.ini
links.dat

Троянец ищет в папке %UserProfile%\Мои документы файлы с расширением .rdp и похищает их содержимое.

Отчет со всей собранной информацией троянец отправляет на электронную почту злоумышленника — xakep_****fakep@mail.ru.

Для отправки писем делает запрос по адресу http://***mailserver.net/2333/gate.php, в котором передает тело письма.