Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan-PSW.Win32.LdPinch.abm

Trojan-PSW.Win32.LdPinch.abm

Время детектирования	15 мар 2006 19:36 MSK
Время выпуска обновления	20 янв 2010 21:07 MSK
Описание опубликовано	15 мар 2006 19:36 MSK

Экспертное описание Автоматическое описание

Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа. Предназначена для кражи конфиденциальной информации. Похищает логины и пароли для различных сервисов и программ. Содержит встроенный SMTP-сервер.

Является приложением Windows (PE EXE-файл). Написана на языке С++. Размер исполняемого файла — 58410 байт.

Инсталляция

После запуска троянец копирует себя в корневой каталог Windows с оригинальным именем запускаемого файла:

%Windir%\<оригинальное имя троянца>.exe

При этом оригинальный запускаемый файл удаляется.

Чтобы запускаться при старте операционной системы, троянец добавляет ссылку на этот файл в ключи автозапуска системного реестра:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"putil"="%Windir%\<оригинальное имя троянца>.exe"

Троян отображается как процесс <оригинальное имя троянца>.exe в диспетчере задач.

Деструктивная активность

В процессе своей деятельности троянская программа сканирует следующие ветви системного реестра и из соответствующих программ пытается похитить сохраненные пароли:

[HKEY_LOCAL_MACHINE\Software\Ghisler\Total Commander]
[HKEY_LOCAL_MACHINE\Software\Ghisler\Windows Commander]
[HKEY_LOCAL_MACHINE\Software\Ghisler]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\&RQ]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]
[HKEY_LOCAL_MACHINE\Software\Mirabilis\ICQ\DefaultPrefs]
[HKEY_LOCAL_MACHINE\Software\Mirabilis\ICQ]
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Mirabilis]
[HKEY_LOCAL_MACHINE\Software\Miranda]
[HKEY_USERS\.Default\Software\Far\Plugins\FTP\Hosts]
[HKEY_USERS\.Default\Software\Far\Plugins\FTP]
[HKEY_USERS\.Default\Software\Far\Plugins]
[HKEY_USERS\.Default\Software\Far]
[HKEY_USERS\.Default\Software\Ghisler\Total Commander]
[HKEY_USERS\.Default\Software\Ghisler\Windows Commander]
[HKEY_USERS\.Default\Software\Microsoft\Internet Account Manager\Accounts]
[HKEY_USERS\.Default\Software\Microsoft\Internet Account Manager]
[HKEY_USERS\.Default\Software\Mirabilis\ICQ\DefaultPrefs]
[HKEY_USERS\.Default\Software\Mirabilis\ICQ\NewOwners]
[HKEY_USERS\.Default\Software\Mirabilis\ICQ\NewOwners]
[HKEY_USERS\.Default\Software\Mirabilis\ICQ]
[HKEY_USERS\.Default\Software\Mirabilis]
[HKEY_USERS\.Default\Software\RIT\The Bat!]
[HKEY_USERS\.Default\Software\RIT]

Похищенную информацию программа периодически отправляет на электронный адрес злоумышленника.

Рекомендации по удалению

Для ручного удаления программы следует выполнить следующие действия:

В диспетчере задач завершить процесс с именем троянской программы;
Удалить файл троянца из корневого каталога Windows;

Удалить из системного реестра следующие записи:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
 "putil"="%Windir%\<оригинальное имя троянца>.exe"

Произвести полную проверку компьютера Антивирусом Касперского (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan-PSW

Вредоносная программа, предназначенная для кражи пользовательских аккаунтов (логин и пароль) с пораженных компьютеров. Название PSW произошло от Password-Stealing-Ware.

При запуске PSW-троянцы ищут необходимую им информацию сиcтемных файлы, хранящие различную конфиденциальную информацию или реестре. В случае успешного поиска программа отсылает найденные данные «хозяину». Для передачи данных могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.

Некоторые троянцы данного типа воруют регистрационную информацию к различному программному обеспечению.

Примечание: Trojan-PSW, занимающиеся кражей банковских аккаунтов, аккаунтов к интернет-пейджерам, а также аккаунтов к компьютерным играм относятся к Trojan-Banker, Trojan-IM и Trojan-GameThief соответственно. В отдельные типы данные вредоносные программы выделены в силу их многочисленности.

Другие модификации

Trojan-PSW.Win32.LdPinch.a

Trojan-PSW.Win32.LdPinch.akv

Trojan-PSW.Win32.LdPinch.ato

Trojan-PSW.Win32.LdPinch.auc

Trojan-PSW.Win32.LdPinch.aup

Trojan-PSW.Win32.LdPinch.awp

Trojan-PSW.Win32.LdPinch.azw

Trojan-PSW.Win32.LdPinch.bex

Trojan-PSW.Win32.LdPinch.bik

Trojan-PSW.Win32.LdPinch.bkk

Trojan-PSW.Win32.LdPinch.bok

Trojan-PSW.Win32.LdPinch.bpk

Trojan-PSW.Win32.LdPinch.byc

Trojan-PSW.Win32.LdPinch.cgi

Trojan-PSW.Win32.LdPinch.dis

Trojan-PSW.Win32.LdPinch.epa

Trojan-PSW.Win32.LdPinch.exc

Trojan-PSW.Win32.LdPinch.fi

Trojan-PSW.Win32.LdPinch.hcs

Trojan-PSW.Win32.LdPinch.kw

Trojan-PSW.Win32.LdPinch.rn

Trojan-PSW.Win32.LdPinch.ur

Trojan-PSW.Win32.LdPinch.zm

Другие названия

Trojan-PSW.Win32.LdPinch.abm («Лаборатория Касперского») также известен как:

Trojan-Spy.Win32.LdPinch.abm («Лаборатория Касперского»)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей