Trojan-PSW.Win32.LdPinch.ato

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянец, предназначенный для кражи конфиденциальной информации пользователя. Похищает логины и пароли к различным сервисам и программам, а также системную информацию компьютера. Размер исполняемого файла — 21398 байт. Упакован с помощью MEW. Размер распакованного файла — около 280 КБ.

Деструктивная активность

Троянская программа собирает информацию о жестком диске, количестве свободного места на нем, об учетной записи текущего пользователя, сетевом имени компьютера, версии операционной системы, локализации, типе процессора, возможностях экрана, установленных на компьютере приложениях, запущенных процессах и существующих в системе dialup-соединениях.

Вирус похищает сведения из файлов «account.cfg» и «account.cfn», расположенных в каталогах:

%AppData%\The Bat
%AppData%\BatMail

Далее троянец получает путь к каталогу программы The Bat!, используя ключ реестра:

[HKLM\Software\RIT\The Bat!] 
Working Directory или ProgramDir

Аналогичным путем также ищутся файлы «account.cfg» и «account.cfn» с последующим чтением их содержимого.

Вирус получает информацию о базах программы ICQ из ветви реестра:

[HKLM\Software\Mirabilis\ICQ\DefaultPrefs]

А также информацию о пользователях — из ветви:

[HKLM\Software\Mirabilis\ICQ\NewOwners]

Используя ключ реестра

[HKLM\Software\Miranda]
Install_Dir

троянец получает информацию о пути к каталогу, в котором располагается программа Miranda. В данном каталоге производится поиск файлов с расширением «.dat», из которых извлекаются номера и пароли от учетных записей пользователей службы мгновенного обмена сообщениями.

Аналогичным образом вредоносная программа получает путь к Trillian с последующим извлечением из ее конфигурационных файлов приватной информации пользователей.

Вирус также собирает следующую информацию:

• логины и пароли удаленных соединений;
• пароли к соединениям Windows Commander и Total Commander;
• пароли соединений CuteFTP, CuteFTP PRO;
• сохраненные пароли браузеров Mozilla и Opera;
• сохраненные пароли FileZilla;
• логины и пароли Mail.Ru Agent;
• пароли FTP-соединений FAR;
• пароли почтовика Thunderbird;
• пароли и дневники Punto Switcher;
• пароли AIM, GAIM, Eudora, E-Dialer, Outlook, INETCOMM Server, CoffeeCup Software, FlashXP, MirIM, SmartFTP;
• информацию из файла «%WinDir%\win.ini».

Собранные данные шифруются и сохраняются в файл «C:\sourcefile.dat», который далее отправляется в HTML-запросе на сервер злоумышленника:

http://readnews.ru/lamer/********/gate.php

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. При помощи «Диспетчера задач» завершить троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить файл:

   C:\sourcefile.dat

4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).