Trojan-PSW.Win32.LdPinch.bok

Технические детали

Данная программа относится к семейству троянцев, ворующих пароли пользователя. Предназначена для похищения различной конфиденциальной информации.

Является приложением Windows (PE EXE-файл). Имеет размер 54784 байта. Написана на Ассемблере.

Деструктивная активность

После запуска троянец добавляет следующую запись в системный реестр:

Вирус непрерывно ищет в системе окна с именами класса «AVP.AlertDialog», «AVP.AhAppChangedDialog», «AVP.AhLearnDialog» и имитирует в них нажатия на кнопки «Разрешить», «Allow», «Skip», «Создать правило», «Apply to all», «Remember this action»; закрывает окна с именем типа «AVP.Product_Notification».

Также осуществляется постоянный поиск окон с заголовками, содержащими строку «Kaspersky Anti-Hacker – Создать правило для» («Kaspersky Anti-Hacker – Create a rule for»). Имитируются нажатия на кнопку «Разрешить однократно», или «Allow Once».

И, наконец, троянская программа имитирует нажатия на «OK» в окнах с такими заголовками:

Троянец собирает информацию о жестком диске (в том числе о количестве свободного места на нем), об учетной записи текущего пользователя, сетевом имени компьютера, версии операционной системы, типе процессора, возможностях экрана, установленных на компьютере программах, запущенных процессах и существующих в системе dialup-соединениях.

Происходит поиск файлов account.cfg и account.cfn в папках:

А также в папках, на которые указывают следующие параметры ключа реестра:

[HKCU\Software\RIT\The Bat!]
Working Directory
ProgramDir

Содержимое названных папок похищается.

Троянец получает из реестра путь к установленному Mirabilis ICQ, ищет в его папке файлы с расширением .DAT и крадет данные, содержащиеся в них.

Из раздела реестра [HKLM\Software\Miranda] Install_Dir вирус считывает путь к клиенту Miranda, находит там DAT-файлы и похищает их содержимое.

Также троянец ищет в следующем ключе системного реестра параметры с именами «RQ.exe» и «RAT.exe»:

[HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache]

Если находит, получает их значения, которые применяет для поиска файла «andrq.ini». Если нет, получает значение ключа реестра (используется с аналогичной целью):

Троянец получает путь к папке с установленным Trillian из ключа реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]

Содержимое файла «users\global\profiles.ini» прочитывается, производится извлечение информации о текущих профилях пользователя. Имена пользователей и пароли из файла «aim.ini» также читаются.

Затем вредоносная программа получает путь к папке с приложением Total Commander из следующих ключей реестра:

В данной папке, равно как и в «%WinDir%», разыскивается файл «wcx_ftp.ini» (или «ftp.ini»), из которого извлекаются значения следующих параметров:

host
username
password
directory
method

Троянская программа получает путь к папке из ключа реестра:

[HKCU\Software\RimArts\B2\Settings]

В данной папке ищется файл «Mailbox.ini», из которого похищаются значения следующих параметров:

UserID
MailAddress
MailServer
PassWd

Троянец получает список записей адресной книги, а также пароли на учетные записи Microsoft Outlook. Изымается данная информация из ключа системного реестра:

Также вирус получает путь к установленным CuteFTP и CuteFTP Professional, ищет в них файлы (содежимое которых похищает):

sm.dat
tree.dat
smdata.dat

Из файла «%WinDir%\edialer.ini» троянец получает значения следующих параметров :

LoginSaved
PasswordSaved

Троянская программа получает список ключей раздела [HKCU\Software\Far\Plugins\FTP\Hosts], где читает значения следующих параметров:

HostName
User
Password
Description

Из секции «WS_FTP» в файле «%WinDir%\win.ini» троян получает значения параметров DIR и DEDIR. Данные значения используются с целью поиска файла «ws_ftp.ini», из которого, в свою очередь, извлекаются значения следующих параметров:

HOST
UID
PWD

Троянец выделяет из реестра путь к браузеру Opera и ищет в его папке файл «\profile\wand.dat» (с последующим похищением содержимого). Такой же поиск производится по указанному пути:

%Documents and Settings%\<имя пользователя>\Application Data\Opera

Также вирус получает из реестра путь к установленному браузеру Mozilla и похищает содержимое всех файлов в папке «Profiles».

Из следующего ключа реестра извлекается путь к программе QIP:

В папке данной программы, а именно в подпапке «Users», читается содержимое файлов «Config.ini». Похищаются значения:

Password
NPass

Троянец читает содержимое файла «%Documents and Settings%\<имя пользователя>\Application Data\Thunderbird\Profiles.ini» и извлекает из него пути к профилям, по которым далее ищет файлы «signons.txt» и «prefs.js», получает их содержимое.

Похищаются значения всех подключей ключа реестра:

[HKCU\Software\Mail.Ru\Agent\mra_logins]

В файле «%Documents and Settings%\<имя пользователя>\Application Data\Qualcomm\Eudora\Eudora.ini» троянец читает следующие параметры:

RealName
ReturnAddress
PopServer
LoginName
SavePasswordText

Вирус читает путь к папке с установленным Punto Switcher из ключа реестра:

[HKCU\Software\Punto Switcher]

Здесь прочитывается содержимое файла «diary.dat».

Также читаются значения файла «%Documents and Settings%\<имя пользователя>\Application Data\.gaim\accounts.xml».

Троянец похищает содержимое файлов, которые находятся в профилях Firefox.

Вредоносная программа получает путь к папке с установленным FileZilla из ключа реестра:

[HKCU\Software\FileZilla]
Install_Dir

Содержимое файла «FileZilla.xml» похищается.

Из системного реестра выделяется путь к папке с «FlashFXP», где похищается содержимое файла «Sites.dat».

Троянец завладевает содержимым файлов:

%WinDir%\VD3User.dat
%WinDir%\Vd3main.dat

А также следующих файлов:

Из подключей ключа реестра [HKCU\Software\CoffeeCup Software\Internet\Profiles] вирус похищает следующие значения:

HostName
Port
Username
Password
ItemName

Троянская программа читает значение параметра в ключе реестра:

Данное значение используется для поиска файлов (с последующим похищением содержимого):

USDownloader.lst
Depositfilesl.txt
Megauploadl.txt
Rapidsharel.txt

Троянец читает значение параметра в ключе реестра [HKCU\Software\Microsoft\Windows\ShellNoRoam] rapget.exe и использует его для поиска файлов:

rapget.ini
links.dat

Cодержимое данных файлов также похищается.

Вирус находит в папке «%Documents and Settings%\<имя пользователя>\Мои документы» файлы с расширением .rdp и похищает их содержимое.

Отчет со всей собранной информацией троянская программа отправляет на электронную почту злоумышленика — vas***@mail.ru.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. Выгрузить из памяти троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).