RSS-каналы
Уровень опасности: 1
Trojan-PSW.Win32.LdPinch.azw
| Время детектирования | 15 окт 2006 20:26 MSK |
| Время выпуска обновления | 15 окт 2006 20:26 MSK |
| Описание опубликовано | 25 окт 2006 16:13 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, ворующая конфиденциальную информацию.
Является приложением Windows (PE EXE-файл). Имеет размер 24384 байта. Упакована при помощи MEW, распакованный размер — около 340 КБ. Написана на ассемблере.
Деструктивная активность
После запуска троянец добавляет следующую запись в системный реестр:
"<имя троянской программы>"="<имя троянской программы>:*:Enabled:<имя троянца без расширения>"
Троянец собирает информацию о жестком диске, количестве свободного места на нем, учетной записи текущего пользователя, сетевом имени компьютера, версии операционной системы, типе процессора, возможностях экрана, установленных на компьютере программах и существующих в системе dialup-соединениях.
Троянец непрерывно ищет в системе окна с именами класса AVP.AlertDialog, AVP.AhAppChangedDialog, AVP.AhLearnDialog и имитирует в них нажатия на кнопки «Разрешить», Allow, Skip, «Создать правило», Apply to all, Remember this action. Также закрывает окна с именем класса AVP.Product_Notification.
Троянец непрерывно ищет в системе окна с заголовком, содержащим следующие строки: «Kaspersky Anti-Hacker — Создать правило для» или «Kaspersky Anti-Hacker - Create a rule for» и имитирует нажатия на кнопку «Разрешить однократно» или «Allow Once».
Также троянская программа имитирует нажатия на кнопку OK в окнах с заголовками:
Warning: Components Have Changed
Скрытый процесс запрашивает сетевой доступ
Hidden Process Requests Network Access
Создать правило для IEXPLORE.EXE
Create rule for IEXPLORE.EXE
Троянец ищет файлы:
account.cfn
в следующих папках:
%UserProfile%\Application Data\The Bat!
а так же в папках, на которые указывают параметры ключа реестра:
Working Directory
ProgramDir
и похищает их содержимое.
Троянец получает из реестра путь к установленному Mirabilis ICQ, ищет в его папке файлы с расширением DAT и похищает их содержимое.
Также получает значения следующих ключей реестра:
[HKLM\Software\Mirabilis\ICQ\NewOwners]
Троянская программа считывает путь к установленой Miranda из раздела реестра:
Install_Dir
ищет в нем файлы с расширением DAT и похищает их содержимое.
Также троянец ищет в параметрах ключа реестра:
параметр с именем RQ.exe и RAT.exe. И если находит, получает его значение и использует для поиска файла andrq.ini.
Если нет, - то получает значение ключа реестра:
UninstallString
и использует его для поиска файла andrq.ini.
Троянец получает путь к папке с установленным Trillian из ключа реестра:
читает содержимое файла users\global\profiles.ini, извлекая информацию о текущих профилях пользователя. Также читает имена пользователей и пароли из файла aim.ini.
Также троянец получает путь к папке с установленным Total Commander из следующих ключей реестра:
[HKCU\Software\Ghisler\Windows Commander]
[HKCU\Software\Ghisler\Total Commander]
[HKLM\Software\Ghisler\Windows Commander]
[HKLM\Software\Ghisler\Total Commander]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander]
UninstallString
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander XP]
UninstallString
[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache]
Totalcmd.exe
В этой папке, а также в папке %WinDir% ищет файл wcx_ftp.ini. Также ищет файл <папка с установленным Windows Commander>\Profiles\Prof\ftp.ini. В этих файлах троянец ищет следующие параметры и получает их значения:
username
password
directory
method
Троянская программа получает путь к папке из следующего ключа реестра:
Ищет в ней файл Mailbox.ini, в котором ищет следующие параметры и получает их значения:
MailAddress
MailServer
PassWd
Троянец получает список записей адресной книги а так же пароли на учетные записи Microsoft Outlook из ключа реестра:
Троянец получает пути к установленным CuteFTP и CuteFTP Professional, ищет в них нижеприведенные файлы и похищает их содержимое:
tree.dat
smdata.dat
Троянец получает значения следующих параметров из файла %WinDir%\edialer.ini:
PasswordSaved
Троянская программа получает список ключей раздела [HKCU\Software\Far\Plugins\FTP\Hosts], в найденных ключах получает значения следующих параметров:
User
Password
Description
Троянец читает из реестра путь к установленному браузеру Opera и ищет в его папке, а также по указанному ниже пути файл \profile\wand.dat и похищает его содержимое:
Получает из реестра путь к установленному браузеру Mozilla и похищает содержимое всех файлов в папке Profiles.
Троянец получает путь к программе QIP из указанного ниже ключа реестра и ищет в его папке в подпапке Users все имеющиеся папки:
"qip.exe"
После чего читает из файлов Config.ini расположенных в этих папках следующие значения:
NPass
Троянец читает содержимое файла %UserProfile%\Application Data\Thunderbird\Profiles.ini и извлекает из него пути к профилям, по которым далее ищет файлы signons.txt и prefs.js и получает их содержимое.
Получает значения всех подключей ключа реестра:
Троянец читает из файла %UserProfile%\Application Data\Qualcomm\Eudora\Eudora.ini следующие параметры:
ReturnAddress
PopServer
LoginName
SavePasswordText
Читает путь к папке с установленным Punto Switcher из приведенного ниже ключа реестра и читает содержимое файла diary.dat:
Читает значения файла %UserProfile%\Application Data\.gaim\accounts.xml
Троянец похищает содержимое файлов, которые находятся в профилях Firefox.
Также получает путь к папке с установленным FileZilla из ниже приведенного ключа реестра и похищает содержимое файла FileZilla.xml:
Install_Dir
Получает из реестра путь к папке с FlashFXP и похищает содержимое файла Sites.dat.
Троянец похищает содержимое файлов:
%WinDir%\Vd3main.dat
Также похищает содержимое файлов:
%UserProfile%\Application Data\SmartFTP\Favorites.dat
%UserProfile%\Application Data\SmartFTP\History.dat
Похищает следующие значения
Port
Username
Password
ItemName
из подключей ключа реестра:
Троянская программа читает значение параметра в ключе реестра:
USDownloader.exe
И использует его для поиска нижеприведенных файлов, содержимое которых похищает:
Depositfilesl.txt
Megauploadl.txt
Rapidsharel.txt
Троянец читает значение параметра в ключе реестра:
rapget.exe
И использует его для поиска нижеприведенных файлов, содержимое которых похищает:
links.dat
Троянец ищет в папке %UserProfile%\Мои документы файлы с расширением .rdp и похищает их содержимое.
Отчет со всей собранной информацией троянец отправляет на электронную почту злоумышленника — xakep_****fakep@mail.ru.
Для отправки писем делает запрос по адресу http://***mailserver.net/2333/gate.php, в котором передает тело письма.
Рекомендации по удалению
- Выгрузить из памяти троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для кражи пользовательских аккаунтов (логин и пароль) с пораженных компьютеров. Название PSW произошло от Password-Stealing-Ware.
При запуске PSW-троянцы ищут необходимую им информацию сиcтемных файлы, хранящие различную конфиденциальную информацию или реестре. В случае успешного поиска программа отсылает найденные данные «хозяину». Для передачи данных могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.
Некоторые троянцы данного типа воруют регистрационную информацию к различному программному обеспечению.
Примечание: Trojan-PSW, занимающиеся кражей банковских аккаунтов, аккаунтов к интернет-пейджерам, а также аккаунтов к компьютерным играм относятся к Trojan-Banker, Trojan-IM и Trojan-GameThief соответственно. В отдельные типы данные вредоносные программы выделены в силу их многочисленности.
Trojan-PSW.
- Mal/Basine-A (Sophos)
- Trojan.
LdPinch-1795 (ClamAV) - Trj/LDPinch.
TT (Panda) - W32/LdPinch.
H. gen!Eldorado (FPROT) - W32/LdPinch.
K. gen!Eldorado (FPROT) - Trojan.
PWS. LDPinch. 1233 (DrWeb) - a variant of Win32/Genetik trojan (Nod32)
- Trojan.
Pws. Ldpinch. AZW (BitDef7) - Win32:
LdPinch-KH [Trj] (AVAST) - Cryp_MEW-11 (TrendMicro)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей