Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя.
Программа является приложением Windows (PE EXE-файл). Имеет размер 7168 байт. Упакована при помощи UPX, размер распакованного файла около 23 КБ. Работает только на ОС Windows 9x.
Инсталляция
При запуске программа скрывает себя в списке процессов с помощью скрытой функции
ОС Windows 9x: RegisterServiceProcess.
Троянец проверяет входит ли IP адрес машины пользователя в один из нижеприведенных диапазонов:
194.158.208.* 194.158.209.* 194.158.215.* 194.158.216.* 194.158.217.* 194.158.218.* 194.158.219.*
Если входит, троянец запускает 100 потоков, которые в цикле перебирают адреса и пытаются подсоединиться ко всем компьютерам сети с адресами, попадающими в один из вышеприведенных диапазонов под учетной записью Administrator. Если пароль на эту учетную запись на удаленном компьютере не установлен и попытка соединения успешна, троянец пытается скопировать пустой файл delete.txt, находящийся в папке трояна в папку на удаленном сетевом компьютере:
<корень учетной записи администратора>\recycled\delete.txtесли это удается, троянец копирует свое тело в папку:
<корень учетной записи администратора>\WINDOWS\Главное Меню\Программы\Автозагрузка\Scanregw.exeтакже копирует файл autorun.inf, находящийся в папке с трояном в папку:
<корень учетной записи администратора<\autorun.inf
При запуске программа ждет соединения с интернет.
Создает в своем каталоге файл autorun.inf следующего содержания:
[autorun] open=Scanregw.exe –autorunНа протяжении всей работы троян циклически получает все учетные записи удаленного доступа к интернет с помощью функции RASEnumEntries, а также пароли к ним с помощью скрытой функции ОС Windows 9x: EnumCachedPasswords.
После этого отсылает полученную информацию по электронной почте на ящик злоумышленника.
Письмо имеет следующий вид:
Тема:
RAS
Текст:
-[DIALUP ENTRIES]-
[<Имя учетной записи>] <номер дозвона> | |
…
-[CACHED PASSWORDS]- <пароль учетной записи> …
-[COPIES SENT]-
< количество отосланных с текущей машины писем>
Также троянец создает следующий ключ в системном реестре:
[HKCU\RemoteAccess] Sent=DWORD:<количество отправленных писем:> LastAccessed=DWORD::<зашифрованное время отправки последнего письма:>