RSS-каналы
Уровень опасности: 1
Trojan-PSW.Win32.LdPinch.fi
| Время детектирования | 16 фев 2006 15:51 MSK |
| Время выпуска обновления | 16 авг 2007 14:00 MSK |
| Описание опубликовано | 16 фев 2006 15:51 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, относящаяся к семейству троянцев, ворующих пароли пользователя. Предназначена для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл). Написана на языке С++.
Размер известных нам зараженных объектов значительно варьируется в пределах от 7 КБ до 25 КБ.
Инсталляция
После запуска троянец копирует себя в корневой каталог Windows с именем pinch.exe:
%Windir%\pinch.exe
Затем регистрирует этот файл в ключах автозапуска системного реестра:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"putil"="%Windir%\pinch.exe"
При каждой следующей загрузке Windows автоматически запустит файл троянца.
Могут встречаться версии данного троянца, создающие свои копии под другими именами.
Деструктивная активность
В процессе своей деятельности троянская программа сканирует и собирает информацию из следующих ветвей системного реестра:
[HKEY_LOCAL_MACHINE\Software\Ghisler\Windows Commander]
[HKEY_LOCAL_MACHINE\Software\Ghisler]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\&RQ]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]
[HKEY_LOCAL_MACHINE\Software\Mirabilis\ICQ\DefaultPrefs]
[HKEY_LOCAL_MACHINE\Software\Mirabilis\ICQ]
[HKEY_LOCAL_MACHINE\Software\Mirabilis]
[HKEY_LOCAL_MACHINE\Software\Miranda]
[HKEY_USERS\.DEFAULT\Software\Far\Plugins\FTP\Hosts]
[HKEY_USERS\.DEFAULT\Software\Far\Plugins\FTP]
[HKEY_USERS\.DEFAULT\Software\Far\Plugins]
[HKEY_USERS\.DEFAULT\Software\Far]
[HKEY_USERS\.DEFAULT\Software\Ghisler\Total Commander]
[HKEY_USERS\.DEFAULT\Software\Ghisler\Windows Commander]
[HKEY_USERS\.DEFAULT\Software\Ghisler]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Account Manager\Accounts]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Account Manager]
[HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\DefaultPrefs]
[HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\NewOwners]
[HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ]
[HKEY_USERS\.DEFAULT\Software\Mirabilis]
[HKEY_USERS\.DEFAULT\Software\RIT\The Bat!]
[HKEY_USERS\.DEFAULT\Software\RIT]
Программа имеет функцию получения системной информации System info, что обеспечивает ей возможность использовать системный таймер.
Содержит шпион клавиатуры Act as Trojan, с помощью которого программа перехватывает вводимую пользователем информацию.
Собранная информация время от времени отправляется на электронный адрес злоумышленника.
Рекомендации по удалению
Для ручного удаления программы следует выполнить следующие действия:
- в диспетчере задач завершить процесс с именем pinch.exe;
- удалить файл троянца %Windir%\pinch.exe;
- удалить из системного реестра следующие записи:
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"putil"="%Windir%\pinch.exe" - произвести полную проверку компьютера Антивирусом Касперского (скачать пробную версию).
Вредоносная программа, предназначенная для кражи пользовательских аккаунтов (логин и пароль) с пораженных компьютеров. Название PSW произошло от Password-Stealing-Ware.
При запуске PSW-троянцы ищут необходимую им информацию сиcтемных файлы, хранящие различную конфиденциальную информацию или реестре. В случае успешного поиска программа отсылает найденные данные «хозяину». Для передачи данных могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.
Некоторые троянцы данного типа воруют регистрационную информацию к различному программному обеспечению.
Примечание: Trojan-PSW, занимающиеся кражей банковских аккаунтов, аккаунтов к интернет-пейджерам, а также аккаунтов к компьютерным играм относятся к Trojan-Banker, Trojan-IM и Trojan-GameThief соответственно. В отдельные типы данные вредоносные программы выделены в силу их многочисленности.
Trojan-PSW.
- IM-Worm.
Win32. Qucan. fi («Лаборатория Касперского») - Trojan.
PSW. LdPinch. fi («Лаборатория Касперского») - Trojan:
New Malware. cn (McAfee) - Mal/Generic-L (Sophos)
- Heuristic.
WinPE-Statistical (Panda) - W32/LdPinch.
G. gen!Eldorado (FPROT) - PWS:
Win32/Ldpinch (MS(OneCare)) - Trojan.
Pws. Ldpinch. 133 (DrWeb) - Win32/PSW.
LdPinch trojan (Nod32) - Trojan.
Generic. 223418 (BitDef7) - Trojan.
LdPinch. Gen. 3 (VirusBuster) - Win32:
LdPinch-DH [Trj] (AVAST) - Packed.
Win32. PolyCrypt (Ikarus) - PSW.
Ldpinch (AVG) - TR/Crypt.
ASPM. Gen (AVIRA) - Infostealer (NAV)
- NseCheckFile2() returned 0x00010018 (Norman)
- [Suspicious] (Rising)
- Trojan.
LdPinch. Gen. 3 (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей