Trojan-PSW.Win32.LdPinch.auc

Технические детали

Троянская программа-шпион, предназначенная для кражи конфиденциальной информации пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 149542 байта. Упакована UPX. Размер распакованного файла — около 410 КБ. Написана на Ассемблере.

Инсталляция

После запуска троянец добавляет следующую запись в системный реестр:

Деструктивная активность

Вирус представляет собой шпионскую программу, ворующую пароли и учетные записи пользователя из следующих приложений:

1. Служб обмена мгновенными сообщениями:
   • Miranda IM

     Троянская программа считывает путь к установленой Miranda IM из раздела реестра:

     [HKLM\Software\Miranda]
     Install_Dir

     Ищет в нем файлы с расширением DAT и похищает их содержимое.

   • Mirabilis ICQ

     Троянец получает из реестра путь к установленному Mirabilis ICQ, ищет в его папке файлы с расширением DAT и похищает их содержимое. Также получает значения следующих ключей реестра:

     [HKCU\Software\Mirabilis\ICQ\NewOwners]
     [HKLM\Software\Mirabilis\ICQ\NewOwners]

   • Trillian

     Троянец получает путь к папке с установленным Trillian из ключа реестра:

     [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]

     Читает содержимое файла «users\global\profiles.ini», извлекая информацию о текущих профилях пользователя. Также читает имена пользователей и пароли из файла «aim.ini».

   • QIP

     Троянец получает путь к программе QIP из указанных ниже ключей реестра и ищет в его папке в подпапке Users все имеющиеся записи:

     [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Q2005]
     [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\QIP2005]
     [HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam]
     "qip.exe"

     После чего читает из файлов «Config.ini», расположенных в этих папках, следующие значения:

     Password
     NPass

   • Mail.Ru Agent

     Получает значения всех подключей ключа реестра:

     [HKCU\Software\Mail.Ru\Agent\mra_logins]

2. Почтовых клиентов:
   • The Bat

     Для этого ищет в папках:

     %UserProfile%\Application Data\BatMail
     %UserProfile%\Application Data\The Bat!

     файлы:

     account.cfg
     account.cfn

     Из них похищает учетные записи и пароли к ним.

   • Outlook

     По данным из ключа:

     [HKCU\Software\Microsoft\Windows NT\CurrentVersion\
     Windows Messaging Subsystem\Profiles\Outlook]

3. FTP-служб:
   • CuteFTP 2.0-7.0

     Из файлов:

     sm.dat
     tree.dat
     smdata.dat

   • SmartFTP

     Из файлов:

     %UserProfile%\Application Data\SmartFTP\Client 2.0\Favorites\ Favorites.dat
     %UserProfile%\Application Data\SmartFTP\Favorites.dat
     %UserProfile%\Application Data\SmartFTP\History.dat

     Похищает следующие значения

     HostName
     Port
     Username
     Password
     ItemName

4. FTP-соединений файловых менеджеров:
   • Far
   • Total Commander
   • Windows Commander

     Получает путь к ним из следующих ключей реестра:

     [HKCU\Software\Ghisler\Windows Commander]
     [HKCU\Software\Ghisler\Total Commander]
     [HKLM\Software\Ghisler\Windows Commander]
     [HKLM\Software\Ghisler\Total Commander]
     [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander]
     UninstallString
     [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander XP]
     UninstallString
     [HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache]
     Totalcmd.exe

     Также в файле «<папка с установленным Windows Commander>\Profiles\Prof\ftp.ini» вирус ищет следующие параметры и получает их значения:

     host
     username
     password
     directory
     method В

     Получает путь к «WS_FTP из %WinDir%\win.ini», после чего считвает содержимое файла «wcx_ftp.ini».

5. Интернет-браузеров:
   • Opera

     Из файлов:

     %UserProfile%\Application Data\Opera\profile\wand.dat
     %UserProfile%\Application Data\Opera\Mail\accounts.ini

   • Mozilla Firefox

     Из файла «%UserProfile%\Application Data\Mozilla\profiles».

   • Thunderbird

     Из файла «%UserProfile%\Application Data\ThunderBird\profiles.ini» извлекает пути к профилям, по которым далее ищет файлы «signons.txt» и «prefs.js» и получает их содержимое.

   • FileZilla

     Получая путь к папке с установленным FileZilla из приведенного ключа реестра, похищает содержимое файлов «FileZilla.xml» и «sitemanager.xml»:

     [HKCU\Software\FileZilla]
     Install_Dir

Троянец читает из файла «%UserProfile%\Application Data\Qualcomm\Eudora\Eudora.ini» следующие параметры:

RealName
ReturnAddress
PopServer
LoginName
SavePasswordText

Троянец получает значения следующих параметров из файла «%WinDir%\edialer.ini»:

LoginSaved
PasswordSaved

Похищает содержимое файла «%UserProfile%\Application Data\.gaim\accounts.xml».

Получает из реестра путь к папке с FlashFXP и похищает содержимое файла «Sites.dat».

Вредоносная программа читает содержимое файлов:

%WinDir%\VD3User.dat
%WinDir%\Vd3main.dat

Данные из ключа:

[HKCU\Software\CoffeeCup Software\Internet\Profiles]

Вирус читает значение параметра в ключе реестра:

[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam]
USDownloader.exe

И использует его для поиска нижеприведенных файлов, содержимое которых похищает:

USDownloader.lst
Depositfilesl.txt
Megauploadl.txt
Rapidsharel.txt

Троянец читает значение параметра в ключе реестра:

[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam]
rapget.exe

И использует его для поиска нижеприведенных файлов, содержимое которых похищает:

rapget.ini
links.dat

Троянец ищет в папке «%UserProfile%\Мои документы» файлы с расширением «.rdp» и похищает их содержимое.

Также троянец ищет в параметрах ключа реестра:

[HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache]

параметр с именами RQ.exe и RAT.exe. И если находит, получает его значение и использует для поиска файла «andrq.ini».

Если не находит, то получает значение ключа реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RQ]
UninstallString

и использует его для поиска файла «andrq.ini».

Троянская программа получает путь к папке из следующего ключа реестра:

[HKCU\Software\RimArts\B2\Settings]

Ищет в ней файл «Mailbox.ini», в котором ищет следующие параметры и получает их значения:

UserID
MailAddress
MailServer
PassWd

Троянец получает путь к папке с установленным Punto Switcher 2.x и из приведенного ниже ключа реестра и читает содержимое файла «diary.dat»:

[HKCU\Software\Punto Switcher]

С целью защиты от сетевых экранов и антивирусов троянец ищет окна сообщений со следующими заголовками:

Create rule for <имя троянской программы>
Kaspersky Anti-Hacker - Create a rule for <имя троянской программы>
Kaspersky Anti-Hacker - Создать правило для <имя троянской программы>
Создать правило для <имя троянской программы>
Warning: Components Have Changed
Внимание: некоторые компоненты изменились
Скрытый процесс запрашивает сетевой доступ
Hidden Process Requests Network Access

Путем нажатия на соответствующие кнопки троянец разрешает запрашиваемые действия.

Вирус ищет в системе окна с именами классов:

AVP.AlertDialog
AVP.AhAppChangedDialog
AVP.AhLearnDialog

Имитирует в них нажатия на кнопки:

«Разрешить»
Allow
Skip
«Создать правило»
Apply to all
Remember this action.

Также закрывает окна с именем класса:

AVP.Product_Notification

И завершает следующие процессы:

avgnt.exe
avcenter.exe
AVPUPD.EXE 
AVPCC.EXE 
AVPM.EXE 
AVP32.EXE 
AVP.EXE 
Nisserv.exe
mcvsshld.exe
mcvsftsn.exe 
mcshield.exe
RavMon.exe 
RavMonD.exe
MailMon.EXE 
NAVW32.exe 
zonealarm.exe

Собранную информацию в виде отчетов с указанием имени компьютера пользователя троянец отправляет злоумышленникам по HTTP с помощью ссылки:

http://electron.h16.ru/****.php

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. При помощи «Диспетчера задач») завершить троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить значение системного реестра:
   [HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   "<имя троянской программы>"="<имя троянской программы>:*:Enabled:<имя троянца без расширения>"
4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).