Security Lab

Trojan-PSW.Win32.LdPinch.ur

Trojan-PSW.Win32.LdPinch.ur

Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя.

Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя. Предназначена для кражи конфиденциальной информации.

Является приложением Windows (PE EXE-файл). Размер известных нам зараженных объектов значительно варьируется в пределах от 21 КБ до 86 КБ. Зараженные объекты упакованы при помощи FSG.

После запуска троянец останавливает и отключает следующие службы:

                  AVPCC
                  Ahnlab task Scheduler
                  alerter
                  AlertManger
                  AVExch32Service
                  avg7alrt
                  avg7updsvc
                  AvgCore
                  AvgFsh
                  AvgServ
                  avpcc
                  AVUPDService
                  AVWUpSrv
                  AvxIni
                  awhost32
                  backweb client - 4476822
                  BackWeb Client - 7681197
                  backweb client-4476822
                  NOD32krn
  

А также запускает поток, который с интервалом в 1 секунду завершает процессы, попадающие в следующий список:

APVDWIN ATUPDATER AUPDATE AUTODOWN AUTOTRACE AUTOUPDATE Avp32 avpcc AVPUPD AVWUPD32 AVXQUAR navpw32 NOD32KUI PAVSRV51 PccPfw VSMON WEBPROXY ZAPRO

Троянец добавляет следующую запись в реестр:

                  [HKLM\System\ControlSet001\Services\SharedAccess\Parameters\
                  FirewallPolicy\StandardProfile\AuthorizedApplications\List]
                   "<путь до троянской программы>"="<путь до троянской программы>:*:Enabled:<имя троянца>"
   

Троянец собирает информацию о жестком диске, количестве свободного места, установленных программах, версии ОС, учетной записи текущего пользователя, типе процессора, системных папках ОС, возможностях экрана.

Также троянец собирает следующую информацию:

  • читает путь к каталогу установки TheBat! в разделе реестра:
      		[HKCU\Software\RIT\The Bat!]
        
  • и ищет в полученном из реестра каталоге файлы:
     
      		account.cfg
      		account.cfn
      
  • читает путь к каталогу ICQ в разделах реестра:
      		[HKLM\Software\Mirabilis\ICQ\DefaultPrefs]
      		[HKCU\Software\Mirabilis\ICQ\DefaultPrefs]
      
    и ищет в полученном из реестра пути файлы с расширением DAT
  • получает значения следующих ключей реестра:
      		[HKCU\Software\Mirabilis\ICQ\NewOwners]
      		[HKLM\Software\Mirabilis\ICQ\NewOwners]
      
  • читает путь к каталогу Miranda в разделе реестра:
      		[HKLM\Software\Miranda]
      
    и ищет в полученном из реестра пути файлы с расширением *.dat
  • ищет в параметрах ключа реестра:
      		[HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache]
      
    параметр с именем &RQ.exe. Если находит, получает его значение и использует для поиска файла andrq.ini
  • получает информацию о существующих в системе dialup-соединениях
  • получает путь к папке установки Trillian из ключа реестра:
      		[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]
      
    читает содержимое файла users\global\profiles.ini, извлекая информацию о текущих профилях пользователя. Также читает имена пользователей и пароли из файла aim.ini
  • получает путь к каталогам Ghisler из следующих ключей реестра:
      		[HKCU\Software\Ghisler\Windows Commander]
      		[HKCU\Software\Ghisler\Total Commander]
      		[HKLM\Software\Ghisler\Windows Commander]
      		[HKLM\Software\Ghisler\Total Commander]
      
    в этих каталогах ищет файл wcx_ftp.ini, в котором ищет следующие параметры и получает их значения:
      		host
      		username
      		password
      		directory
      		method
      
  • получает путь к каталогу из следующего ключа реестра:
      		[HKCU\Software\RimArts\B2\Settings]
      
    ищет в нем файл Mailbox.ini, в котором ищет следующие параметры и получает их значения:
      		UserID
      		MailAddress
      		MailServer
      		PassWd
      
  • достает список записей адресной книги Microsoft Outlook
  • получает значения следующих параметров из файла %WinDir%\edialer.ini:
      		LoginSaved
      		PasswordSaved
      
  • получает список ключей раздела [HKCU\Software\Far\Plugins\FTP\Hosts], в найденных ключах получает значения следующих параметров:
      		HostName
      		User
      		Password
      		Description
      

Собранные данные и содержимое найденных файлов троянец посылает в сжатом виде на электронную почту злоумышленника во вложении report.bin.

Также программа запускает FTP сервер на компьютере пользователя, через который злоумышленник может получить доступ к файлам пользователя.

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться