Security Lab

Trojan-PSW.Win32. LdPinch.ato

Trojan-PSW.Win32. LdPinch.ato

Троянец, предназначенный для кражи конфиденциальной информации пользователя.

Троянец, предназначенный для кражи конфиденциальной информации пользователя. Похищает логины и пароли к различным сервисам и программам, а также системную информацию компьютера. Размер исполняемого файла — 21398 байт. Упакован с помощью MEW. Размер распакованного файла — около 280 КБ.

Деструктивная активность

Троянская программа собирает информацию о жестком диске, количестве свободного места на нем, об учетной записи текущего пользователя, сетевом имени компьютера, версии операционной системы, локализации, типе процессора, возможностях экрана, установленных на компьютере приложениях, запущенных процессах и существующих в системе dialup-соединениях.

Вирус похищает сведения из файлов «account.cfg» и «account.cfn», расположенных в каталогах:

  %AppData%\The Bat
  %AppData%\BatMail

Далее троянец получает путь к каталогу программы The Bat!, используя ключ реестра: 

[HKLM\Software\RIT\The Bat!] 
Working Directory или ProgramDir

Аналогичным путем также ищутся файлы «account.cfg» и «account.cfn» с последующим чтением их содержимого.

Вирус получает информацию о базах программы ICQ из ветви реестра: 

[HKLM\Software\Mirabilis\ICQ\DefaultPrefs]

А также информацию о пользователях — из ветви:

 
[HKLM\Software\Mirabilis\ICQ\NewOwners]

Используя ключ реестра 

[HKLM\Software\Miranda]
Install_Dir

троянец получает информацию о пути к каталогу, в котором располагается программа Miranda. В данном каталоге производится поиск файлов с расширением «.dat», из которых извлекаются номера и пароли от учетных записей пользователей службы мгновенного обмена сообщениями.

Аналогичным образом вредоносная программа получает путь к Trillian с последующим извлечением из ее конфигурационных файлов приватной информации пользователей.

Вирус также собирает следующую информацию:

* логины и пароли удаленных соединений;

* пароли к соединениям Windows Commander и Total Commander;

* пароли соединений CuteFTP, CuteFTP PRO;

* сохраненные пароли браузеров Mozilla и Opera;

* сохраненные пароли FileZilla;

* логины и пароли Mail.Ru Agent;

* пароли FTP-соединений FAR;

* пароли почтовика Thunderbird;

* пароли и дневники Punto Switcher;

* пароли AIM, GAIM, Eudora, E-Dialer, Outlook, INETCOMM Server, CoffeeCup Software, FlashXP, MirIM, SmartFTP;

* информацию из файла «%WinDir%\win.ini».

Собранные данные шифруются и сохраняются в файл «C:\sourcefile.dat», который далее отправляется в HTML-запросе на сервер злоумышленника:

  http://readnews.ru/lamer/********/gate.php

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться

Новости по теме

Ждете, когда Google наконец уберет сторонние куки в Chrome? Придется потерпеть еще год

ЦБ РФ и Росфинмониторинг тестируют платформу для контроля криптовалютных операций

Как ученые готовятся к пугающе близкому сближению Апофиса с Землей

Пакистанские RAT-атаки на оборонный сектор Индии усиливаются в преддверии выборов

С тюремной шконки прямиком в веб-дизайн: HTML и CSS дарят заключённым билет в светлое будущее

Австралийские спецслужбы тонко намекают техсектору на необходимость внедрения скрытых бэкдоров

Больше никаких бесплатных игр: Steam закрывает лазейку для хитрых геймеров

20% энергии солнца в кармане: дроны с бесконечным полетом спешат на помощь

Свиньи спасли еще одну жизнь: женщине пересадили не только почку, но и насос для сердца