RSS-каналы
Уровень опасности: 1
Trojan-PSW.Win32.LdPinch.bik
| Время детектирования | 17 янв 2007 17:34 MSK |
| Время выпуска обновления | 11 июл 2007 14:49 MSK |
| Описание опубликовано | 17 янв 2007 17:34 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя. Предназначена для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл). Имеет размер — 25600 байт. Упакована при помощи UPX, распакованный размер — около 250 КБ. Написана на Ассемблере.
Деструктивная активность
После запуска троянец добавляет следующую запись в системный реестр:
"<имя троянской программы>" = "<имя троянской программы>:*:Enabled:<имя троянца без расширения>"
Троянец непрерывно ищет в системе окна с именами класса «AVP.AlertDialog», «AVP.AhAppChangedDialog», «AVP.AhLearnDialog» и имитирует в них нажатия на кнопки «Разрешить», «Allow», «Skip», «Создать правило», «Apply to all», «Remember this action». Закрывает окна с именем класса «AVP.Product_Notification».
Троянец непрерывно ищет в системе окна с заголовком, содержащим следующие строки: «Kaspersky Anti-Hacker — Создать правило для» или «Kaspersky Anti-Hacker — Create a rule for» и имитирует нажатия на кнопку «Разрешить однократно» или «Allow Once».
Также троянская программа имитирует нажатия на кнопку «OK» в окнах с заголовками:
Warning: Components Have Changed
Скрытый процесс запрашивает сетевой доступ
Hidden Process Requests Network Access
Троянец собирает информацию о жестком диске, количестве свободного места на нем; об учетной записи текущего пользователя, сетевом имени компьютера, версии операционной системы, типе процессора; возможностях экрана, установленных на компьютере; программах, запущенных процессах и существующих в системе dialup-соединениях.
Троянец ищет файлы account.cfg и account.cfn в папках:
%Documents and Settings%\<имя текущего пользователя>\Application Data\The Bat!
А также в папках, на которые указывают параметры ключа реестра:
Working Directory
ProgramDir
Содержимое найденных файлов похищается.
Троянец получает из реестра путь к установленному Mirabilis ICQ, ищет в его папке файлы с расширением DAT и похищает их содержимое. Также получает значения следующих ключей реестра:
[HKCU\Software\Mirabilis\ICQ\NewOwners] [HKLM\Software\Mirabilis\ICQ\NewOwners]
Троянская программа ищет файлы с расширением DAT и похищает их содержимое посредством считываения пути к установленой Miranda из раздела реестра:
[HKLM\Software\Miranda] Install_Dir
Также троянец ищет параметр с именем RQ.exe и RAT.exe в параметрах ключа реестра:
[HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache]
И если находит, получает его значение и использует для поиска файла andrq.ini. Если нет, то получает значение ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\RQ] UninstallString
и использует его для поиска файла andrq.ini.
Троянец получает путь к папке с установленным Trillian из ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]
В реестре прочитывает содержимое файла users\global\profiles.ini, извлекая информацию о текущих профилях пользователя. Также читает имена пользователей и пароли из файла aim.ini.
Также троянец получает путь к папке с установленным Total Commander из следующих ключей реестра:
[HKCU\Software\Ghisler\Total Commander]
[HKLM\Software\Ghisler\Windows Commander]
[HKLM\Software\Ghisler\Total Commander]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander]
UninstallString
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander XP]
UninstallString
[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache]
Totalcmd.exe
В указанной папке, а также в папке %WinDir% ищет файл wcx_ftp.ini или ftp.ini, в котором находит параметры и получает их значения:
host username password directory method
Троянская программа получает путь к папке из следующего ключа реестра:
[HKCU\Software\RimArts\B2\Settings],
ищет в ней файл Mailbox.ini, в котором получает значения следующих параметров:
UserID MailAddress MailServer PassWd
Троянец получает список записей адресной книги, а также пароли на учетные записи Microsoft Outlook из ключа реестра:
Троянец получает путь к установленным CuteFTP и CuteFTP Professional, ищет и похищает содержимое файлов:
sm.dat tree.dat smdata.dat
Троянец получает значения параметров из файла %WinDir%\edialer.ini:
LoginSaved PasswordSaved
Троянская программа получает список ключей раздела
[HKCU\Software\Far\Plugins\FTP\Hosts]
В найденных ключах получает значения следующих параметров:
HostName User Password Description
Троянец читает из реестра путь к установленному браузеру Opera и ищет файл \profile\wand.dat (с последующим похищением содержимого) в папке браузера, а также по указанному пути:
%Documents and Settings%\<имя пользователя>\Application Data\Opera
Получает из реестра путь к установленному браузеру Mozilla и похищает содержимое всех файлов в папке Profiles.
Троянец получает путь к программе QIP из ключа реестра
"qip.exe"
и ищет в его папке в подпапке Users все имеющиеся папки после чего читает из файлов Config.ini, расположенных в этих папках, следующие значения:
Password NPass
Троянец читает содержимое файла
и извлекает из него пути к профилям, по которым далее ищет файлы signons.txt и prefs.js и получает их содержимое.
Получает значения всех подключей ключа реестра:
[HKCU\Software\Mail.Ru\Agent\mra_logins]
Троянец читает из файла
следующие параметры:
RealName ReturnAddress PopServer LoginName SavePasswordText
Читает путь к папке с установленным Punto Switcher из ключа реестра:
[HKCU\Software\Punto Switcher]
и читает содержимое файла "diary.dat".
Читает значения файла
Троянец похищает содержимое файлов, которые находятся в профилях Firefox. Также похищает содержимое файла FileZilla.xml, получая путь к папке с установленным FileZilla из ключа реестра:
[HKCU\Software\FileZilla] Install_Dir
Получает из реестра путь к папке с FlashFXP и похищает содержимое файла Sites.dat.
Троянец похищает содержимое файлов:
%WinDir%\VD3User.dat %WinDir%\Vd3main.dat,
а также таких файлов, как:
%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\Favorites.dat
%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\History.dat
[HKCU\Software\CoffeeCup Software\Internet\Profiles]
Из подключей ключа данного реестра похищаются следующие значения:
HostName Port Username Password ItemName
Троянская программа читает значение параметра в ключе реестра
USDownloader.exe
и использует его для поиска следующих файлов, содержимое которых похищает:
USDownloader.lst Depositfilesl.txt Megauploadl.txt Rapidsharel.txt
Аналогично троянец поступает со значением параметра в ключе реестра
rapget.exe,
используя его для поиска файлов:
rapget.ini links.dat
Также похищается содержимое файлов с расширением .rdp, находящихся в папке:
Отчет со всей собранной информацией троянская программа отправляет на электронную почту злоумышленника spartak***@mail.ru.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Выгрузить из памяти троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для кражи пользовательских аккаунтов (логин и пароль) с пораженных компьютеров. Название PSW произошло от Password-Stealing-Ware.
При запуске PSW-троянцы ищут необходимую им информацию сиcтемных файлы, хранящие различную конфиденциальную информацию или реестре. В случае успешного поиска программа отсылает найденные данные «хозяину». Для передачи данных могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.
Некоторые троянцы данного типа воруют регистрационную информацию к различному программному обеспечению.
Примечание: Trojan-PSW, занимающиеся кражей банковских аккаунтов, аккаунтов к интернет-пейджерам, а также аккаунтов к компьютерным играм относятся к Trojan-Banker, Trojan-IM и Trojan-GameThief соответственно. В отдельные типы данные вредоносные программы выделены в силу их многочисленности.
Trojan-PSW.
- Trojan:
PolyCrypt-Packed (McAfee) - Mal/EncPk-BN (Sophos)
- Trojan.
Packed-70 (ClamAV) - Malicious Packer (Panda)
- W32/LdPinch.
D. gen!Eldorado (FPROT) - Trojan:
Win32/Anomaly. gen!A (MS(OneCare)) - Trojan.
PWS. LDPinch. 2216 (DrWeb) - a variant of Win32/Injector.
BV trojan (Nod32) - Trojan.
Pws. Ldpinch. BIK (BitDef7) - Win32:
LdPinch-AKU [Trj] (AVAST) - Trojan-PWS.
Win32. LdPinch (Ikarus) - PSW.
Ldpinch. EIA (AVG) - TR/Crypt.
ULPM. Gen (AVIRA) - Infostealer (NAV)
- Suspicious_P.
gen (Norman) - PolyCrypt-Packed (NAI)
- Trojan.
PSW. LdPinch. esm (Rising) - Trojan-PSW.
Win32. LdPinch. bik [AVP] (FSecure) - Mal_Pai-2 (TrendMicro)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей