Trojan-PSW.Win32.LdPinch.ur

Технические детали

Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя. Предназначена для кражи конфиденциальной информации.

Является приложением Windows (PE EXE-файл). Размер известных нам зараженных объектов значительно варьируется в пределах от 21 КБ до 86 КБ. Зараженные объекты упакованы при помощи FSG.

Деструктивная активность

После запуска троянец останавливает и отключает следующие службы:

AVPCC
Ahnlab task Scheduler
alerter
AlertManger
AVExch32Service
avg7alrt
avg7updsvc
AvgCore
AvgFsh
AvgServ
avpcc
AVUPDService
AVWUpSrv
AvxIni
awhost32
backweb client - 4476822
BackWeb Client - 7681197
backweb client-4476822
NOD32krn

А также запускает поток, который с интервалом в 1 секунду завершает процессы, попадающие в следующий список:

APVDWIN ATUPDATER AUPDATE AUTODOWN AUTOTRACE AUTOUPDATE Avp32 avpcc AVPUPD AVWUPD32 AVXQUAR navpw32 NOD32KUI PAVSRV51 PccPfw VSMON WEBPROXY ZAPRO

Троянец добавляет следующую запись в реестр:

Троянец собирает информацию о жестком диске, количестве свободного места, установленных программах, версии ОС, учетной записи текущего пользователя, типе процессора, системных папках ОС, возможностях экрана.

Также троянец собирает следующую информацию:

• читает путь к каталогу установки TheBat! в разделе реестра:
  [HKCU\Software\RIT\The Bat!]
  и ищет в полученном из реестра каталоге файлы:
  account.cfg
  account.cfn
• читает путь к каталогу ICQ в разделах реестра:
  [HKLM\Software\Mirabilis\ICQ\DefaultPrefs]
  [HKCU\Software\Mirabilis\ICQ\DefaultPrefs]
  и ищет в полученном из реестра пути файлы с расширением DAT
• получает значения следующих ключей реестра:
  [HKCU\Software\Mirabilis\ICQ\NewOwners]
  [HKLM\Software\Mirabilis\ICQ\NewOwners]
• читает путь к каталогу Miranda в разделе реестра:
  [HKLM\Software\Miranda]
  и ищет в полученном из реестра пути файлы с расширением *.dat
• ищет в параметрах ключа реестра:
  [HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache]
  параметр с именем &RQ.exe. Если находит, получает его значение и использует для поиска файла andrq.ini
• получает информацию о существующих в системе dialup-соединениях

• получает путь к папке установки Trillian из ключа реестра:
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]
  читает содержимое файла users\global\profiles.ini, извлекая информацию о текущих профилях пользователя. Также читает имена пользователей и пароли из файла aim.ini
• получает путь к каталогам Ghisler из следующих ключей реестра:
  [HKCU\Software\Ghisler\Windows Commander]
  [HKCU\Software\Ghisler\Total Commander]
  [HKLM\Software\Ghisler\Windows Commander]
  [HKLM\Software\Ghisler\Total Commander]

  в этих каталогах ищет файл wcx_ftp.ini, в котором ищет следующие параметры и получает их значения:

  host
  username
  password
  directory
  method
• получает путь к каталогу из следующего ключа реестра:
  [HKCU\Software\RimArts\B2\Settings]
  ищет в нем файл Mailbox.ini, в котором ищет следующие параметры и получает их значения:
  UserID
  MailAddress
  MailServer
  PassWd
• достает список записей адресной книги Microsoft Outlook
• получает значения следующих параметров из файла %WinDir%\edialer.ini:
  LoginSaved
  PasswordSaved
• получает список ключей раздела [HKCU\Software\Far\Plugins\FTP\Hosts], в найденных ключах получает значения следующих параметров:
  HostName
  User
  Password
  Description

Собранные данные и содержимое найденных файлов троянец посылает в сжатом виде на электронную почту злоумышленника во вложении report.bin.

Также программа запускает FTP сервер на компьютере пользователя, через который злоумышленник может получить доступ к файлам пользователя.

Рекомендации по удалению

1. Выгрузить из памяти троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).