RSS-каналы
Уровень опасности: 1
Trojan-PSW.Win32.LdPinch.bkk
| Время детектирования | 23 авг 2007 18:59 MSK |
| Время выпуска обновления | 23 авг 2007 18:59 MSK |
| Описание опубликовано | 15 мар 2007 17:10 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Программа относится к семейству троянцев, ворующих конфиденциальную информацию пользователя. Предназначена для кражи паролей.
Является приложением Windows (PE EXE-файл). Имеет размер около 49 КБ. Написана на Ассемблере.
Инсталляция
При запуске троянец извлекает из своего тела и запускает на исполнение следующие файлы:
- %Temp%\Pinch;009.exe — имеет размер 26635 байт;
- %Temp%\drag_and_go_back_spezial.swf — имеет размер 19006 байт.
Вирус добавляет параметр в ключ системного реестра:
"<имя троянской программы>" = "<имя троянской программы>:*:Enabled:"
Деструктивная активность
Троянец непрерывно ищет в системе окна с именами класса «AVP.AlertDialog», «AVP.AhAppChangedDialog», «AVP.AhLearnDialog» и имитирует в них нажатия на кнопки «Разрешить», «Allow», «Skip», «Создать правило», «Apply to all», «Remember this action». Окна с именем «AVP.Product_Notification» напротив, закрываются.
Ведется поиск окон с заголовками, содержащими следующие строки: «Kaspersky Anti-Hacker — Создать правило для» или «Kaspersky Anti-Hacker — Create a rule for». В данных окнах имитируются нажатия на «Разрешить однократно» («Allow Once»).
Также троянская программа имитирует нажатия на кнопку «OK» в окнах с заголовками:
Внимание: некоторые компоненты изменились Warning: Components Have Changed Скрытый процесс запрашивает сетевой доступ Hidden Process Requests Network Access
Троянец собирает информацию о жестком диске (в частности о количестве свободного места на нем), об учетной записи текущего пользователя, сетевом имени компьютера, версии операционной системы, типе процессора, возможностях экрана, установленных на компьютере программах, запущенных процессах и существующих в системе dialup-соединениях.
Вирус ищет файлы account.cfg и account.cfn в следующих папках:
%Documents and Settings%\<имя текущего пользователя>\
А также в папках, на которые указывают параметры ключа реестра:
[HKCU\Software\RIT\The Bat!] Working Directory ProgramDir
Содержимое всех указанных папок похищается.
Троянец получает из реестра путь к установленному Mirabilis ICQ, ищет в его папке файлы с расширением .DAT и похищает их содержимое.
Троянская программа считывает путь к клиенту Miranda из раздела реестра:
[HKLM\Software\Miranda] Install_Dir
Здесь аналогично похищается содержимое DAT-файлов.
Также троянец ищет в ключе реестра [HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache] параметры с именами RQ.exe и RAT.exe. Если находит, получает его значение и использует для поиска файла «andrq.ini», если нет —получает значение ключа реестра:
UninstallString
Это значение также используется для поиска «andrq.ini».
Троянец получает путь к папке с установленным Trillian из ключа реестра:
Вирус читает содержимое файла «users\global\profiles.ini», извлекая информацию о текущих профилях пользователя, читает имена пользователей и пароли из файла «aim.ini».
Также троянец получает путь к папке с установленным Total Commander из следующих ключей реестра:
[HKCU\Software\Ghisler\Windows Commander]
[HKCU\Software\Ghisler\Total Commander]
[HKLM\Software\Ghisler\Windows Commander]
[HKLM\Software\Ghisler\Total Commander]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
UninstallString
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
UninstallString
[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache]
Totalcmd.exe
В данной папке, а также в папке «%WinDir%» ищет файл «wcx_ftp.ini» или «ftp.ini», где находит следующие параметры и получает их значения:
host username password directory method
Троянская программа получает путь к папке из ключа реестра [HKCU\Software\RimArts\B2\Settings], ищет в ней файл «Mailbox.ini», где находит следующие параметры и получает их значения:
UserID MailAddress MailServer PassWd
Троянец получает список записей адресной книги, а также пароли на учетные записи Microsoft Outlook из ключа реестра:
Вредоносная программа считывает путь к установленным CuteFTP и CuteFTP Professional, ищет в них файлы:
sm.dat tree.dat smdata.dat
Троянец получает значения следующих параметров из файла «%WinDir%\edialer.ini»:
LoginSaved PasswordSaved
Троянская программа получает список ключей раздела [HKCU\Software\Far\Plugins\FTP\Hosts]. В найденных ключах получает значения следующих параметров:
HostName User Password Description
Из секции «WS_FTP» в файле «%WinDir%\win.ini» похищаются значения параметров DIR и DEFDIR. Значения используются для поиска файла «ws_ftp.ini», из которого читаются значения следующих параметров:
HOST UID PWD
Троянец читает из реестра путь к установленному браузеру Opera и ищет в его папке, а также в «%Documents and Settings%\<имя пользователя>\Application Data\Opera» файл «\profile\wand.dat» и похищает его содержимое.
Вирус получает из реестра путь к браузеру Mozilla и похищает содержимое всех файлов в папке «Profiles».
Троянец получает путь к программе QIP из ключа реестра:
[HKCU\Software\Microsoft\Windows\ShellNoRoam] "qip.exe"
В папке данного клиента, в подпапке «Users» из файлов «Config.ini» читаются следующие значения:
Password NPass
Троянец читает содержимое файла «%Documents and Settings%\<имя пользователя>\Application Data\Thunderbird\Profiles.ini» и извлекает из него пути к профилям, по которым далее ищет файлы «signons.txt» и «prefs.js» и получает их содержимое.
Получает значения всех подключей ключа реестра:
[HKCU\Software\Mail.Ru\Agent\mra_logins]
Троянец читает из файла «%Documents and Settings%\<имя пользователя>\Application Data\Qualcomm\Eudora\Eudora.ini» следующие параметры:
RealName ReturnAddress PopServer LoginName SavePasswordText
Читает путь к папке с установленным Punto Switcher из ключа реестра:
[HKCU\Software\Punto Switcher]
Читает содержимое файла «diary.dat».
Читает значения файла:
Троянец похищает содержимое файлов, которые находятся в профилях Firefox.
Также получает путь к папке с установленным FileZilla из ключа реестра:
[HKCU\Software\FileZilla] Install_Dir
И похищает содержимое файлов «FileZilla.xml» и «sitemanager.xml».
Вирус получает из реестра путь к папке с FlashFXP и похищает содержимое файла «Sites.dat».
Троянец похищает содержимое файлов:
%WinDir%\VD3User.dat %WinDir%\Vd3main.dat
Также похищает содержимое файлов:
%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\
%Documents and Settings%\<имя пользователя>\Application Data\
%Documents and Settings%\<имя пользователя>\Application Data\
Из подключей ключа реестра [HKCU\Software\CoffeeCup Software\Internet\Profiles] похищает следующие значения:
HostName Port Username Password ItemName
Троянская программа читает значение параметра в ключе реестра:
[HKCU\Software\Microsoft\Windows\ShellNoRoam] USDownloader.exe
Значение используется для поиска файлов:
USDownloader.lst Depositfilesl.txt Megauploadl.txt Rapidsharel.txt
Троянец читает значение параметра в ключе реестра [HKCU\Software\Microsoft\Windows\ShellNoRoam] rapget.exe и использует его для поиска файлов:
rapget.ini links.dat
Троянец ищет в папке «%Documents and Settings%\<имя пользователя>\Мои документы» файлы с расширением .rdp и похищает их содержимое.
Отчет со всей собранной информацией троянская программа отправляет на электронную почту злоумышленика по адресу ****n@timeparty.org.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- Выгрузить из памяти троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%Temp%\Pinch;009.exe %Temp%\drag_and_go_back_spezial.swf
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для кражи пользовательских аккаунтов (логин и пароль) с пораженных компьютеров. Название PSW произошло от Password-Stealing-Ware.
При запуске PSW-троянцы ищут необходимую им информацию сиcтемных файлы, хранящие различную конфиденциальную информацию или реестре. В случае успешного поиска программа отсылает найденные данные «хозяину». Для передачи данных могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.
Некоторые троянцы данного типа воруют регистрационную информацию к различному программному обеспечению.
Примечание: Trojan-PSW, занимающиеся кражей банковских аккаунтов, аккаунтов к интернет-пейджерам, а также аккаунтов к компьютерным играм относятся к Trojan-Banker, Trojan-IM и Trojan-GameThief соответственно. В отдельные типы данные вредоносные программы выделены в силу их многочисленности.
Trojan-PSW.
- Trojan:
Generic PWS. y (McAfee) - Mal/Krap-K (Sophos)
- Trojan.
Packed-70 (ClamAV) - Malicious Packer (Panda)
- W32/PWStealer.
JKW (FPROT) - PWS:
Win32/Ldpinch (MS(OneCare)) - Trojan.
PWS. LDPinch. 1526 (DrWeb) - Win32/PSW.
LdPinch. NDD trojan (Nod32) - Trojan.
Pws. Ldpinch. BKK (BitDef7) - Rootkit.
LDPinch. Gen. 4 (VirusBuster) - Win32:
LdPinch-ACW [Trj] (AVAST) - Trojan-PWS.
Win32. LdPinch (Ikarus) - PSW.
Ldpinch. FFI (AVG) - TR/Crypt.
XPACK. Gen (AVIRA) - Infostealer (NAV)
- Suspicious_M.
gen (Norman) - Generic PWS.
y (NAI) - Trojan.
PSW. Win32. LdPinch. bkk (Rising) - Trojan-PSW.
Win32. LdPinch. bkk [AVP] (FSecure) - Mal_Pai-4 (TrendMicro)
- Trojan-PSW.
Win32. LdPinch. syo (Sunbelt) - Rootkit.
LDPinch. Gen. 4 (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей