Security Lab

Trojan-PSW.Win32. LdPinch.aup

Trojan-PSW.Win32. LdPinch.aup

Троянская программа, ворующая пароли пользователя.

Троянская программа, ворующая пароли пользователя.

Является приложением Windows (PE EXE-файл). Имеет размер около 23 КБ. Упакована при помощи UPX, распакованный размер — около 250 КБ. Написана на Ассемблере.

Инсталляция

При инсталляции троянец извлекает из своего тела следующий файл:

%System%\incdrv.sys

Деструктивная активность

После запуска троянец добавляет следующую запись в системный реестр:

[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]
"<имя троянской программы>"="<имя троянской программы>:*:Enabled:
<имя троянца без расширения>"

Троянец непрерывно ищет в системе окна с именами класса AVP.AlertDialog, AVP.AhAppChangedDialog, AVP.AhLearnDialog и имитирует в них нажатия на кнопку «Разрешить».

Троянец непрерывно ищет в системе окна с заголовком, содержащим строки «Создать правило для» или «Create a rule for» и имитирует нажатия на кнопку «Разрешить однократно» или «Allow Once».

Также троянская программа имитирует нажатия на кнопку OK в окнах с заголовками:

    * Внимание: некоторые компоненты изменились
      * Warning: Components Have Changed
      * Скрытый процесс запрашивает сетевой доступ
      * Hidden Process Requests Network Access

Троянец собирает информацию о жестком диске, количестве свободного места на нем, учетной записи текущего пользователя, сетевом имени компьютера, версии операционной системы, типе процессора, возможностях экрана, установленных на компьютере программах, запущенных процессах и существующих в системе dialup-соединениях.

Троянец ищет файлы:

account.cfg
  account.cfn
  

В папках:

%UserProfile%\Application Data\BatMail
%UserProfile%\Application Data\The Bat!

А так же в папках, на которые указывают параметры ключа реестра:

[HKCU\Software\RIT\The Bat!]
Working Directory
ProgramDir

И похищает их содержимое.

Троянец получает из реестра путь к установленному Mirabilis ICQ, ищет в его папке файлы с расширением DAT и похищает их содержимое.

Также получает значения следующих ключей реестра:

[HKCU\Software\Mirabilis\ICQ\NewOwners]
[HKLM\Software\Mirabilis\ICQ\NewOwners]

Троянская программа считывает путь к установленой Miranda из раздела реестра:

[HKLM\Software\Miranda]
Install_Dir

Ищет в нем файлы с расширением DAT и похищает их содержимое.

Также троянец ищет в параметрах ключа реестра:

[HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache]

Параметр с именем RQ.exe и RAT.exe. И если находит, получает его значение и использует для поиска файла andrq.ini.

Если нет, то получает значение ключа реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RQ]
UninstallString

И использует его для поиска файла andrq.ini.

Троянец получает путь к папке с установленным Trillian из ключа реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]

Читает содержимое файла users\global\profiles.ini, извлекая информацию о текущих профилях пользователя. Также читает имена пользователей и пароли из файла aim.ini.

Также троянец получает путь к папке с установленным Total Commander из следующих ключей реестра:

[HKCU\Software\Ghisler\Windows Commander]
[HKCU\Software\Ghisler\Total Commander]
[HKLM\Software\Ghisler\Windows Commander]
[HKLM\Software\Ghisler\Total Commander]

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander]
UninstallString

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander XP]

UninstallString

[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache] Totalcmd.exe

В этой папке, а также в папке %WinDir% ищет файл wcx_ftp.ini или ftp.ini, в котором ищет следующие параметры и получает их значения:

host
  username
  password
  directory
  method
  

Троянская программа получает путь к папке из следующего ключа реестра:

[HKCU\Software\RimArts\B2\Settings]

Ищет в ней файл Mailbox.ini, в котором ищет следующие параметры и получает их значения:

UserID
MailAddress
MailServer
PassWd

Троянец получает список записей адресной книги а так же пароли на учетные записи Microsoft Outlook из ключа реестра:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\
Profiles\Outlook]

Троянец получает путь к установленному CuteFTP, ищет в нем файлы:

sm.dat
  tree.dat
  smdata.dat
  

И похищает их содержимое.

Троянец получает значения следующих параметров из файла %WinDir%\edialer.ini:

LoginSaved
PasswordSaved

Троянская программа получает список ключей раздела [HKCU\Software\Far\Plugins\FTP\Hosts], в найденных ключах получает значения следующих параметров:

HostName
User
Password
Description

Троянец читает из реестра путь к установленному браузеру Opera и ищет в его папке, а также по указанному пути:

%UserProfile%\Application Data\Opera

Файл \profile\wand.dat и похищает его содержимое.

Получает из реестра путь к установленному браузеру Mozilla и похищает содержимое всех файлов в папке Profiles.

Троянец получает путь к программе QIP из ключа реестра:

[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam]
"qip.exe"

И ищет в его папке в подпапке Users все имеющиеся папки, после чего читает из файлов Config.ini расположенных в этих папках следующие значения:

Password
  NPass
  

Троянец читает содержимое файла %UserProfile%\Application Data\Thunderbird\Profiles.ini и извлекает из него пути к профилям, по которым далее ищет файлы signons.txt и prefs.js и получает их содержимое.

Получает значения всех подключей ключа реестра:

[HKCU\Software\Mail.Ru\Agent\mra_logins]

Троянец читает из файла %UserProfile%\Application Data\Qualcomm\Eudora\Eudora.ini следующие параметры:

RealName
ReturnAddress
PopServer
LoginName
SavePasswordText

Читает путь к папке с установленным Punto Switcher из ключа реестра:

[HKCU\Software\Punto Switcher]

И читает содержимое файла diary.dat.

Читает значения файла %UserProfile%\Application Data\.gaim\accounts.xml

Троянец похищает содержимое файлов, которые находятся в профилях Firefox.

Также получает путь к папке с установленным FileZilla из ключа реестра:

[HKCU\Software\FileZilla]
Install_Dir

И похищает содержимое файла FileZilla.xml.

Получает из реестра путь к папке с FlashFXP и похищает содержимое файла Sites.dat.

Троянец похищает содержимое файлов:

%WinDir%\VD3User.dat
%WinDir%\Vd3main.dat

Также похищает содержимое файлов:

%UserProfile%\Application Data\SmartFTP\Client 2.0\Favorites\ Favorites.dat
%UserProfile%\Application Data\SmartFTP\Favorites.dat
%UserProfile%\Application Data\SmartFTP\History.dat

Похищает следующие значения

HostName
  Port
  Username
  Password
  ItemName
  

Из подключей ключа реестра:

[HKCU\Software\CoffeeCup Software\Internet\Profiles]

Троянская программа читает значение параметра в ключе реестра:

[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam]
USDownloader.exe

И использует его для поиска файлов:

USDownloader.lst
Depositfilesl.txt
Megauploadl.txt
Rapidsharel.txt

Содержимое которых похищает.

Троянец читает значение параметра в ключе реестра:

[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam]
rapget.exe

И использует его для поиска файлов:

rapget.ini
  links.dat
  

Содержимое которых похищает.

Собранные данные троянская программа сохраняет в файле c:\rep.bin. После чего отправляет содержимое файла на электронную почту злоумышленника x****iii@mail.by и удаляет данный файл.

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену