Trojan-PSW.Win32.LdPinch.byc

Технические детали

Программа относится к семейству троянцев, ворующих конфиденциальную информацию пользователя. Предназначена для кражи паролей.

Является приложением Windows (PE EXE-файл). Имеет размер 43377 байт. Написана на Ассемблере.

Деструктивная активность

После запуска вирус добавляет следующую запись в системный реестр:

Троянец непрерывно ищет в системе окна с именами класса «AVP.AlertDialog», «AVP.AhAppChangedDialog», «AVP.AhLearnDialog» и имитирует в них нажатия на кнопки «Разрешить», «Allow», «Skip», «Создать правило», «Apply to all», «Remember this action». Окна с именем «AVP.Product_Notification» напротив, закрываются.

Ведется поиск окон с заголовками, содержащими следующие строки: «Kaspersky Anti-Hacker — Создать правило для» или «Kaspersky Anti-Hacker — Create a rule for». В данных окнах имитируются нажатия на «Разрешить однократно» («Allow Once»).

Также троянская программа имитирует нажатия на кнопку «OK» в окнах с заголовками:

Внимание: некоторые компоненты изменились
Warning: Components Have Changed
Скрытый процесс запрашивает сетевой доступ
Hidden Process Requests Network Access

Троянец собирает информацию о жестком диске (в частности о количестве свободного места на нем), об учетной записи текущего пользователя, сетевом имени компьютера, версии операционной системы, типе процессора, возможностях экрана, установленных на компьютере программах, запущенных процессах и существующих в системе dialup-соединениях.

Вирус ищет файлы account.cfg и account.cfn в следующих папках:

А также в папках, на которые указывают параметры ключа реестра:

[HKCU\Software\RIT\The Bat!]
Working Directory
ProgramDir

Содержимое всех указанных папок похищается.

Троянец получает из реестра путь к установленному Mirabilis ICQ, ищет в его папке файлы с расширением .DAT и похищает их содержимое.

Троянская программа считывает путь к клиенту Miranda из раздела реестра:

[HKLM\Software\Miranda]
Install_Dir

Здесь аналогично похищается содержимое DAT-файлов.

Также троянец ищет в ключе реестра [HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache] параметры с именами RQ.exe и RAT.exe. Если находит, получает его значение и использует для поиска файла «andrq.ini», если нет —получает значение ключа реестра:

Это значение также используется для поиска «andrq.ini».

Троянец получает путь к папке с установленным Trillian из ключа реестра:

Вирус читает содержимое файла «users\global\profiles.ini», извлекая информацию о текущих профилях пользователя, читает имена пользователей и пароли из файла «aim.ini».

Также троянец получает путь к папке с установленным Total Commander из следующих ключей реестра:

В данной папке, а также в папке «%WinDir%» ищет файл «wcx_ftp.ini» или «ftp.ini», где находит следующие параметры и получает их значения:

host
username
password
directory
method

Троянская программа получает путь к папке из ключа реестра [HKCU\Software\RimArts\B2\Settings], ищет в ней файл «Mailbox.ini», где находит следующие параметры и получает их значения:

UserID
MailAddress
MailServer
PassWd

Троянец получает список записей адресной книги, а также пароли на учетные записи Microsoft Outlook из ключа реестра:

Вредоносная программа считывает путь к установленным CuteFTP и CuteFTP Professional, ищет в них файлы:

sm.dat
tree.dat
smdata.dat

Троянец получает значения следующих параметров из файла «%WinDir%\edialer.ini»:

LoginSaved
PasswordSaved

Троянская программа получает список ключей раздела [HKCU\Software\Far\Plugins\FTP\Hosts]. В найденных ключах получает значения следующих параметров:

HostName
User
Password
Description

Из секции «WS_FTP» в файле «%WinDir%\win.ini» похищаются значения параметров DIR и DEFDIR. Значения используются для поиска файла «ws_ftp.ini», из которого читаются значения следующих параметров:

HOST
UID
PWD

Троянец читает из реестра путь к установленному браузеру Opera и ищет в его папке, а также в «%Documents and Settings%\<имя пользователя>\Application Data\Opera» файл «\profile\wand.dat» и похищает его содержимое.

Вирус получает из реестра путь к браузеру Mozilla и похищает содержимое всех файлов в папке «Profiles».

Троянец получает путь к программе QIP из ключа реестра:

[HKCU\Software\Microsoft\Windows\ShellNoRoam]
"qip.exe"

В папке данного клиента, в подпапке «Users» из файлов «Config.ini» читаются следующие значения:

Password
NPass

Троянец читает содержимое файла «%Documents and Settings%\<имя пользователя>\Application Data\Thunderbird\Profiles.ini» и извлекает из него пути к профилям, по которым далее ищет файлы «signons.txt» и «prefs.js» и получает их содержимое.

Получает значения всех подключей ключа реестра:

[HKCU\Software\Mail.Ru\Agent\mra_logins]

Троянец читает из файла «%Documents and Settings%\<имя пользователя>\Application Data\Qualcomm\Eudora\Eudora.ini» следующие параметры:

RealName
ReturnAddress
PopServer
LoginName
SavePasswordText

Читает путь к папке с установленным Punto Switcher из ключа реестра:

[HKCU\Software\Punto Switcher]

Читает содержимое файла «diary.dat».

Читает значения файла:

Троянец похищает содержимое файлов, которые находятся в профилях Firefox.

Также получает путь к папке с установленным FileZilla из ключа реестра:

[HKCU\Software\FileZilla]
Install_Dir

И похищает содержимое файлов «FileZilla.xml» и «sitemanager.xml».

Вирус получает из реестра путь к папке с FlashFXP и похищает содержимое файла «Sites.dat».

Троянец похищает содержимое файлов:

%WinDir%\VD3User.dat
%WinDir%\Vd3main.dat

Также похищает содержимое файлов:

Из подключей ключа реестра [HKCU\Software\CoffeeCup Software\Internet\Profiles] похищает следующие значения:

HostName
Port
Username
Password
ItemName

Троянская программа читает значение параметра в ключе реестра:

[HKCU\Software\Microsoft\Windows\ShellNoRoam]
USDownloader.exe

Значение используется для поиска файлов:

USDownloader.lst
Depositfilesl.txt
Megauploadl.txt
Rapidsharel.txt

Троянец читает значение параметра в ключе реестра [HKCU\Software\Microsoft\Windows\ShellNoRoam] rapget.exe и использует его для поиска файлов:

rapget.ini
links.dat

Троянец ищет в папке «%Documents and Settings%\<имя пользователя>\Мои документы» файлы с расширением .rdp и похищает их содержимое.

Отчет со всей собранной информацией троянская программа отправляет на электронную почту злоумышленика по адресу pro_***@mail.ru.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. При помощи «Диспетчера задач» завершить троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).