Trojan-Spy.Win32. Goldun.ms

Троянская программа, которая похищает конфиденциальную информацию пользователя.

Троянская программа, которая похищает конфиденциальную информацию пользователя. Является приложением Windows(PE-EXE файл). Размер компонентов троянца варьируется от 39 до 48 КБ.

Инсталляция

При запуске троянец извлекает из своего тела следующий файл:

%System%\msvcrl.dll – имеет размер 39 424 байта, упакован с помощью UPX.

Троянец получает путь к установленному Internet Explorer и изменяет файл iexplore.exe, добавляя в его таблицу импортов импорт из библиотеки

 %System%\msvcrl.dll. 

После чего троянская библиотека будет загружаться при каждом запуске Microsoft Internet Explorer.

При этом оригинальный файл троянца удаляется.

Деструктивная активность

Троянец похищает пароли на учетные записи из файлов данных следующих клиентов мгновенных сообщений:

 QIP2005
 Trillian
 MSN Messenger
 Yahoo Messenger
 AOL
 Miranda
 

Также троянец похищает пароли к FTP серверам из файлов конфигурации следующих FTP клиентов:

 WS_FTP
 Total Commander
 CuteFTP
 FAR
 

Похищает пароли к учетным записям электронной почты из файлов настроек следующих почтовых клиентов:

 TheBat
 Outlook Express
 Outlook
 

Также троянец похищает словарь IE Auto Complete Fields.

Троянец устанавливает перехватчики на API функции для работы с сетью интернет:

 InternetReadFile
 InternetOpenURL
 

с помощью которых следит за посещаемыми пользователем Интернет сайтами. Также троян перехватывает отсылаемые Internet Explorer данные из полей ввода на web-формах.

Кроме того при открытии в Internet Explorer адресов, которые попадают в заложенный внутрь троянца список, троян осуществляет перенаправление запросов на сайты злоумышленника.

Собранную на компьютере пользователя информацию троянец отправляет на сайт злоумышленника в параметрах HTTP запроса.