Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan-PSW.Win32.LdPinch.zm

Trojan-PSW.Win32.LdPinch.zm

Время детектирования	30 ноя 2005 18:22 MSK
Время выпуска обновления	30 ноя 2005 21:29 MSK
Описание опубликовано	11 май 2006 20:08 MSK

Технические детали
Деструктивная активность

Технические детали

Троянская программа предназначена для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл), имеет размер 20205 байт, упакована с помощью MEW. Размер в распакованном виде — около 120 КБ.

Инсталляция

После запуска троянец создает в корневом каталоге Windows файл с именем ssmc.dll и размером 19968 байт:

%Windir%/ssmc.dll

Деструктивная активность

В процессе своей деятельности троянская программа сканирует следующие ветви системного реестра и из соответствующих программ пытается похитить сохраненные пароли:

[HKEY_LOCAL_MACHINE\Software\Ghisler\Total Commander]
[HKEY_LOCAL_MACHINE\Software\Ghisler\Windows Commander]
[HKEY_LOCAL_MACHINE\Software\Ghisler]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\&RQ]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]
[HKEY_LOCAL_MACHINE\Software\Mirabilis\ICQ\DefaultPrefs]
[HKEY_LOCAL_MACHINE\Software\Mirabilis\ICQ]
[HKEY_LOCAL_MACHINE\Software\Mirabilis]
[HKEY_LOCAL_MACHINE\Software\Miranda]
[HKEY_USERS\.DEFAULT\Identities\{AF3274A0-6E41-11DA-83A4-C394B5B26C06}\Software\Microsoft\Internet Account Manager\Accounts]
[HKEY_USERS\.DEFAULT\Identities\{AF3274A0-6E41-11DA-83A4-C394B5B26C06}\Software\Microsoft\Internet Account Manager]
[HKEY_USERS\.DEFAULT\Software\Far\Plugins\FTP\Hosts]
[HKEY_USERS\.DEFAULT\Software\Far\Plugins\FTP]
[HKEY_USERS\.DEFAULT\Software\Far\Plugins]
[HKEY_USERS\.DEFAULT\Software\Far]
[HKEY_USERS\.DEFAULT\Software\Ghisler\Total Commander]
[HKEY_USERS\.DEFAULT\Software\Ghisler\Windows Commander]
[HKEY_USERS\.DEFAULT\Software\Ghisler]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Account Manager\Accounts]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Account Manager]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\DefaultPrefs]
[HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\NewOwners]
[HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ]
[HKEY_USERS\.DEFAULT\Software\Mirabilis]
[HKEY_USERS\.DEFAULT\Software\RIT\The Bat!]
[HKEY_USERS\.DEFAULT\Software\RIT]

Похищенную информацию программа периодически отправляет на электронный адрес злоумышленника.

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan-PSW

Вредоносная программа, предназначенная для кражи пользовательских аккаунтов (логин и пароль) с пораженных компьютеров. Название PSW произошло от Password-Stealing-Ware.

При запуске PSW-троянцы ищут необходимую им информацию сиcтемных файлы, хранящие различную конфиденциальную информацию или реестре. В случае успешного поиска программа отсылает найденные данные «хозяину». Для передачи данных могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.

Некоторые троянцы данного типа воруют регистрационную информацию к различному программному обеспечению.

Примечание: Trojan-PSW, занимающиеся кражей банковских аккаунтов, аккаунтов к интернет-пейджерам, а также аккаунтов к компьютерным играм относятся к Trojan-Banker, Trojan-IM и Trojan-GameThief соответственно. В отдельные типы данные вредоносные программы выделены в силу их многочисленности.

Другие модификации

Trojan-PSW.Win32.LdPinch.a

Trojan-PSW.Win32.LdPinch.abm

Trojan-PSW.Win32.LdPinch.akv

Trojan-PSW.Win32.LdPinch.ato

Trojan-PSW.Win32.LdPinch.auc

Trojan-PSW.Win32.LdPinch.aup

Trojan-PSW.Win32.LdPinch.awp

Trojan-PSW.Win32.LdPinch.azw

Trojan-PSW.Win32.LdPinch.bex

Trojan-PSW.Win32.LdPinch.bik

Trojan-PSW.Win32.LdPinch.bkk

Trojan-PSW.Win32.LdPinch.bok

Trojan-PSW.Win32.LdPinch.bpk

Trojan-PSW.Win32.LdPinch.byc

Trojan-PSW.Win32.LdPinch.cgi

Trojan-PSW.Win32.LdPinch.dis

Trojan-PSW.Win32.LdPinch.epa

Trojan-PSW.Win32.LdPinch.exc

Trojan-PSW.Win32.LdPinch.fi

Trojan-PSW.Win32.LdPinch.hcs

Trojan-PSW.Win32.LdPinch.kw

Trojan-PSW.Win32.LdPinch.rn

Trojan-PSW.Win32.LdPinch.ur

Другие названия

Trojan-PSW.Win32.LdPinch.zm («Лаборатория Касперского») также известен как:

Trojan: PWS-LDPinch (McAfee)
Troj/LdPnch-Gen (Sophos)
Heuristic.WinPE-Statistical (Panda)
W32/LdPinch.K.gen!Eldorado (FPROT)
PWS:Win32/Ldpinch.gen (MS(OneCare))
Trojan.PWS.LDPinch.722 (DrWeb)
Win32/TrojanDropper.Small.NCP trojan (Nod32)
Dropped:Trojan.Pws.Ldpinch.ZM (BitDef7)
Packed/MEW (VirusBuster)
Win32:Trojan-gen (AVAST)
Trojan-PWS.Win32.LdPinch (Ikarus)
Dropper.Generic.BAW.dropper (AVG)
TR/Crypt.XDR.Gen (AVIRA)
Infostealer (NAV)
W32/Packed_Mew.C (Norman)
PWS-LDPinch (NAI)
Trojan.PSW.LdPinch.zp (Rising)
Trojan-PSW.Win32.LdPinch.zm [AVP] (FSecure)
Cryp_MEW-11 (TrendMicro)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com