Trojan-PSW.Win32. LdPinch.bik

Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя. Предназначена для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл). Имеет размер — 25600 байт. Упакована при помощи UPX, распакованный размер — около 250 КБ. Написана на Ассемблере.

Деструктивная активность

После запуска троянец добавляет следующую запись в системный реестр:

[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\
AuthorizedApplications\List]
"<имя троянской программы>" = "<имя троянской программы>:*:Enabled:
<имя троянца без расширения>"

Троянец непрерывно ищет в системе окна с именами класса «AVP.AlertDialog», «AVP.AhAppChangedDialog», «AVP.AhLearnDialog» и имитирует в них нажатия на кнопки «Разрешить», «Allow», «Skip», «Создать правило», «Apply to all», «Remember this action». Закрывает окна с именем класса «AVP.Product_Notification».

Троянец непрерывно ищет в системе окна с заголовком, содержащим следующие строки: «Kaspersky Anti-Hacker — Создать правило для» или «Kaspersky Anti-Hacker — Create a rule for» и имитирует нажатия на кнопку «Разрешить однократно» или «Allow Once».

Также троянская программа имитирует нажатия на кнопку «OK» в окнах с заголовками:

Внимание: некоторые компоненты изменились
Warning: Components Have Changed
Скрытый процесс запрашивает сетевой доступ
Hidden Process Requests Network Access

Троянец собирает информацию о жестком диске, количестве свободного места на нем; об учетной записи текущего пользователя, сетевом имени компьютера, версии операционной системы, типе процессора; возможностях экрана, установленных на компьютере; программах, запущенных процессах и существующих в системе dialup-соединениях.

Троянец ищет файлы account.cfg и account.cfn в папках:

%Documents and Settings%\<имя текущего пользователя>\Application Data\BatMail
%Documents and Settings%\<имя текущего пользователя>\Application Data\The Bat!

А также в папках, на которые указывают параметры ключа реестра:

[HKCU\Software\RIT\The Bat!]
Working Directory
ProgramDir

Содержимое найденных файлов похищается.

Троянец получает из реестра путь к установленному Mirabilis ICQ, ищет в его папке файлы с расширением DAT и похищает их содержимое. Также получает значения следующих ключей реестра:

  [HKCU\Software\Mirabilis\ICQ\NewOwners]
  [HKLM\Software\Mirabilis\ICQ\NewOwners] 

Троянская программа ищет файлы с расширением DAT и похищает их содержимое посредством считываения пути к установленой Miranda из раздела реестра:

  [HKLM\Software\Miranda]
  Install_Dir 

Также троянец ищет параметр с именем RQ.exe и RAT.exe в параметрах ключа реестра:

  [HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache] 

И если находит, получает его значение и использует для поиска файла andrq.ini. Если нет, то получает значение ключа реестра:

   [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\RQ]
  UninstallString 

и использует его для поиска файла andrq.ini.

Троянец получает путь к папке с установленным Trillian из ключа реестра:

 [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian] 

В реестре прочитывает содержимое файла users\global\profiles.ini, извлекая информацию о текущих профилях пользователя. Также читает имена пользователей и пароли из файла aim.ini.

Также троянец получает путь к папке с установленным Total Commander из следующих ключей реестра:

 
[HKCU\Software\Ghisler\Windows Commander]
[HKCU\Software\Ghisler\Total Commander]
[HKLM\Software\Ghisler\Windows Commander]
[HKLM\Software\Ghisler\Total Commander]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander]
UninstallString
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander XP]
UninstallString
[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache]
Totalcmd.exe

В указанной папке, а также в папке %WinDir% ищет файл wcx_ftp.ini или ftp.ini, в котором находит параметры и получает их значения:

  host
  username
  password
  directory
  method 
  

Троянская программа получает путь к папке из следующего ключа реестра:

 [HKCU\Software\RimArts\B2\Settings], 

ищет в ней файл Mailbox.ini, в котором получает значения следующих параметров:

UserID
MailAddress
MailServer
PassWd 

Троянец получает список записей адресной книги, а также пароли на учетные записи Microsoft Outlook из ключа реестра:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\
Profiles\Outlook]

Троянец получает путь к установленным CuteFTP и CuteFTP Professional, ищет и похищает содержимое файлов:

  sm.dat
  tree.dat
  smdata.dat 
  

Троянец получает значения параметров из файла %WinDir%\edialer.ini:

  LoginSaved
  PasswordSaved 
  

Троянская программа получает список ключей раздела

 
[HKCU\Software\Far\Plugins\FTP\Hosts] 

В найденных ключах получает значения следующих параметров:

HostName
User
Password
Description

Троянец читает из реестра путь к установленному браузеру Opera и ищет файл \profile\wand.dat (с последующим похищением содержимого) в папке браузера, а также по указанному пути:

 %Documents and Settings%\<имя пользователя>\Application Data\Opera

Получает из реестра путь к установленному браузеру Mozilla и похищает содержимое всех файлов в папке Profiles.

Троянец получает путь к программе QIP из ключа реестра

[HKCU\Software\Microsoft\Windows\ShellNoRoam]
"qip.exe"

и ищет в его папке в подпапке Users все имеющиеся папки после чего читает из файлов Config.ini, расположенных в этих папках, следующие значения:

  Password
  NPass 

Троянец читает содержимое файла

%Documents and Settings%\<имя пользователя>\Application Data\Thunderbird\Profiles.ini

и извлекает из него пути к профилям, по которым далее ищет файлы signons.txt и prefs.js и получает их содержимое.

Получает значения всех подключей ключа реестра:

  [HKCU\Software\Mail.Ru\Agent\mra_logins]

Троянец читает из файла

%Documents and Settings%\<имя пользователя>\Application Data\Qualcomm\Eudora\Eudora.ini

следующие параметры:

  RealName
  ReturnAddress
  PopServer
  LoginName
  SavePasswordText 
  

Читает путь к папке с установленным Punto Switcher из ключа реестра:

[HKCU\Software\Punto Switcher] 

и читает содержимое файла "diary.dat".

Читает значения файла

%Documents and Settings%\<имя пользователя>\Application Data\.gaim\accounts.xml

Троянец похищает содержимое файлов, которые находятся в профилях Firefox. Также похищает содержимое файла FileZilla.xml, получая путь к папке с установленным FileZilla из ключа реестра:

[HKCU\Software\FileZilla]
Install_Dir 

Получает из реестра путь к папке с FlashFXP и похищает содержимое файла Sites.dat.

Троянец похищает содержимое файлов:

 
%WinDir%\VD3User.dat
%WinDir%\Vd3main.dat,

а также таких файлов, как:

%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\Client 2.0\
Favorites\ Favorites.dat
%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\Favorites.dat
%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\History.dat

[HKCU\Software\CoffeeCup Software\Internet\Profiles] 

Из подключей ключа данного реестра похищаются следующие значения:

HostName
Port
Username
Password
ItemName 

Троянская программа читает значение параметра в ключе реестра

[HKCU\Software\Microsoft\Windows\ShellNoRoam]
USDownloader.exe

и использует его для поиска следующих файлов, содержимое которых похищает:

USDownloader.lst
Depositfilesl.txt
Megauploadl.txt
Rapidsharel.txt 

Аналогично троянец поступает со значением параметра в ключе реестра

[HKCU\Software\Microsoft\Windows\ShellNoRoam]
rapget.exe,

используя его для поиска файлов:

  rapget.ini
  links.dat

Также похищается содержимое файлов с расширением .rdp, находящихся в папке:

%Documents and Settings%\<имя пользователя>\Мои документы

Отчет со всей собранной информацией троянская программа отправляет на электронную почту злоумышленника spartak***@mail.ru.