Trojan-PSW.Win32.LdPinch.ur
Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя.
Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя. Предназначена для кражи конфиденциальной информации.
Является приложением Windows (PE EXE-файл). Размер известных нам зараженных объектов значительно варьируется в пределах от 21 КБ до 86 КБ. Зараженные объекты упакованы при помощи FSG.
После запуска троянец останавливает и отключает следующие службы:
AVPCC
Ahnlab task Scheduler
alerter
AlertManger
AVExch32Service
avg7alrt
avg7updsvc
AvgCore
AvgFsh
AvgServ
avpcc
AVUPDService
AVWUpSrv
AvxIni
awhost32
backweb client - 4476822
BackWeb Client - 7681197
backweb client-4476822
NOD32krn
А также запускает поток, который с интервалом в 1 секунду завершает процессы, попадающие в следующий список:
APVDWIN ATUPDATER AUPDATE AUTODOWN AUTOTRACE AUTOUPDATE Avp32 avpcc AVPUPD AVWUPD32 AVXQUAR navpw32 NOD32KUI PAVSRV51 PccPfw VSMON WEBPROXY ZAPRO
Троянец добавляет следующую запись в реестр:
[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"<путь до троянской программы>"="<путь до троянской программы>:*:Enabled:<имя троянца>"
Троянец собирает информацию о жестком диске, количестве свободного места, установленных программах, версии ОС, учетной записи текущего пользователя, типе процессора, системных папках ОС, возможностях экрана.
Также троянец собирает следующую информацию:
- читает путь к каталогу установки TheBat! в разделе реестра:
[HKCU\Software\RIT\The Bat!] -
и ищет в полученном из реестра каталоге файлы:
account.cfg account.cfn
-
читает путь к каталогу ICQ в разделах реестра:
[HKLM\Software\Mirabilis\ICQ\DefaultPrefs] [HKCU\Software\Mirabilis\ICQ\DefaultPrefs]
и ищет в полученном из реестра пути файлы с расширением DAT -
получает значения следующих ключей реестра:
[HKCU\Software\Mirabilis\ICQ\NewOwners] [HKLM\Software\Mirabilis\ICQ\NewOwners]
-
читает путь к каталогу Miranda в разделе реестра:
[HKLM\Software\Miranda]
и ищет в полученном из реестра пути файлы с расширением *.dat -
ищет в параметрах ключа реестра:
[HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache]
параметр с именем &RQ.exe. Если находит, получает его значение и использует для поиска файла andrq.ini - получает информацию о существующих в системе dialup-соединениях
-
получает путь к папке установки Trillian из ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]
читает содержимое файла users\global\profiles.ini, извлекая информацию о текущих профилях пользователя. Также читает имена пользователей и пароли из файла aim.ini -
получает путь к каталогам Ghisler из следующих ключей реестра:
[HKCU\Software\Ghisler\Windows Commander] [HKCU\Software\Ghisler\Total Commander] [HKLM\Software\Ghisler\Windows Commander] [HKLM\Software\Ghisler\Total Commander]
в этих каталогах ищет файл wcx_ftp.ini, в котором ищет следующие параметры и получает их значения:host username password directory method
-
получает путь к каталогу из следующего ключа реестра:
[HKCU\Software\RimArts\B2\Settings]
ищет в нем файл Mailbox.ini, в котором ищет следующие параметры и получает их значения:UserID MailAddress MailServer PassWd
- достает список записей адресной книги Microsoft Outlook
-
получает значения следующих параметров из файла %WinDir%\edialer.ini:
LoginSaved PasswordSaved
-
получает список ключей раздела [HKCU\Software\Far\Plugins\FTP\Hosts], в найденных ключах получает значения следующих параметров:
HostName User Password Description
Собранные данные и содержимое найденных файлов троянец посылает в сжатом виде на электронную почту злоумышленника во вложении report.bin.
Также программа запускает FTP сервер на компьютере пользователя, через который злоумышленник может получить доступ к файлам пользователя.
Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!