Trojan-PSW.Win32.LdPinch.cgi

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа-шпион, предназначенная для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл). Написана на Ассемблере. Имеет размер 23226 байт.

Деструктивная активность

Троянец представляет собой шпионскую программу, ворующую пароли и учетные записи пользователя из следующих программ:

1. Клиентов систем мгновенного обмена сообщениями:
   • Miranda IM

     Троянская программа считывает путь к установленой Miranda IM из раздела реестра:

     [HKLM\Software\Miranda]
     Install_Dir

     Ищет в нем файлы с расширением DAT и похищает их содержимое.

   • Mirabilis ICQ

     Троянец получает из реестра путь к установленному Mirabilis ICQ, ищет в его папке файлы с расширением DAT и похищает их содержимое. Также получает значения следующих ключей реестра:

     [HKCU\Software\Mirabilis\ICQ\NewOwners]
     [HKLM\Software\Mirabilis\ICQ\NewOwners]

   • Trillian

     Троянец получает путь к папке с установленным Trillian из ключа реестра:

     [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]

     Читает содержимое файла «users\global\profiles.ini», извлекая информацию о текущих профилях пользователя. Также читает имена пользователей и пароли из файла «aim.ini».

   • QIP

     Троянец получает путь к программе QIP из указанных ниже ключей реестра и ищет в его папке в подпапке «Users» все имеющиеся папки:

     [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Q2005]
     [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\QIP2005]
     [HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam]
     "qip.exe"

     После чего читает из файлов «Config.ini», расположенных в этих папках, следующие значения:

     Password
     NPass

   • Mail.Ru Agent

     Получает значения всех подключей ключа реестра:

     [HKCU\Software\Mail.Ru\Agent\mra_logins]

2. Почтовых клиентов:
   • The Bat

     Для этого ищет в папках:

     %UserProfile%\Application Data\BatMail
     %UserProfile%\Application Data\The Bat!

     или ключах реестра:

     [HKCU\Software\RIT\The Bat!]
     Working Directory
     ProgramDir

     следующие файлы:

     account.cfg
     account.cfn

     Из них похищает учетные записи и пароли к ним.

   • Outlook

     По данным из ключа:

     [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook]

3. FTP-служб:
   • CuteFTP

     Из файлов:

     sm.dat
     tree.dat
     smdata.dat

   • SmartFTP

     Из файлов:

     %UserProfile%\Application Data\SmartFTP\Client 2.0\Favorites\ Favorites.dat
     %UserProfile%\Application Data\SmartFTP\Favorites.dat
     %UserProfile%\Application Data\SmartFTP\History.dat

     похищает следующие значения:

     HostName
     Port
     Username
     Password
     ItemName

4. FTP-соединений файловых менеджеров:
   • Total Commander
   • Windows Commander

     Вирус получает путь к ним из следующих ключей реестра:

     [HKCU\Software\Ghisler\Windows Commander]
     [HKCU\Software\Ghisler\Total Commander]
     [HKLM\Software\Ghisler\Windows Commander]
     [HKLM\Software\Ghisler\Total Commander]
     [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander]
     UninstallString
     [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander XP]
     UninstallString
     [HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache]
     Totalcmd.exe

     Также ищет файл «<папка с установленным Windows Commander>\Profiles\Prof\ftp.ini». В нем троянец ищет следующие параметры и получает их значения:

     host
     username
     password
     directory
     method В

     Получает путь к WS_FTP из «%WinDir%\win.ini», после чего считвает содержимое файла «wc_ftp.ini».

5. Интернет-браузеров:
   • Opera

     Из файлов:

     %UserProfile%\Application Data\Opera\profile\wand.dat
     %UserProfile%\Application Data\Opera\Mail\accounts.ini

   • Mozilla Firefox

     Из файла:

     %UserProfile%\Application Data\Mozilla\profiles 

   • Thunderbird

     Из файла «%UserProfile%\Application Data\ThunderBird\profiles.ini» извлекает пути к профилям, по которым далее ищет файлы «signons.txt» и «prefs.js» и получает их содержимое.

   • FileZilla

     Получая путь к папке с установленным FileZilla из нижеприведенного ключа реестра, похищает содержимое файлов «FileZilla.xml» и «sitemanager.xml»:

     [HKCU\Software\FileZilla]
      Install_Dir

 

Троянец читает из файла «%UserProfile%\Application Data\Qualcomm\Eudora\Eudora.ini» следующие параметры:

RealName
ReturnAddress
PopServer
LoginName
SavePasswordText

Вредоносная программа получает значения следующих параметров из файла «%WinDir%\edialer.ini»:

LoginSaved
PasswordSaved

Похищает содержимое файла «%UserProfile%\Application Data\.gaim\accounts.xml».

Получает из реестра путь к папке с FlashFXP и похищает содержимое файла «Sites.dat».

Троянец читает содержимое файлов:

%WinDir%\VD3User.dat
%WinDir%\Vd3main.dat

Данные из ключа:

[HKCU\Software\CoffeeCup Software\Internet\Profiles]

Троянская программа читает значение параметра в ключе реестра:

[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam]
USDownloader.exe

И использует его для поиска нижеприведенных файлов, содержимое которых похищает:

USDownloader.lst
Depositfilesl.txt
Megauploadl.txt
Rapidsharel.txt

Троянец читает значение параметра в ключе реестра:

[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam]
rapget.exe

И использует его для поиска нижеприведенных файлов, содержимое которых похищает:

rapget.ini
links.dat

Троянец ищет в папке «%UserProfile%\Мои документы» файлы с расширением «.rdp» и похищает их содержимое.

Также троянец ищет в параметрах ключа реестра:

[HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache]

параметр с именами RQ.exe и RAT.exe. И если находит, получает его значение и использует для поиска файла «andrq.ini».

Если не находит, то получает значение ключа реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RQ]
UninstallString

И также использует его для поиска «andrq.ini».

Троянская программа получает путь к папке из следующего ключа реестра:

[HKCU\Software\RimArts\B2\Settings]

Ищет в ней файл «Mailbox.ini», в котором ищет следующие параметры и получает их значения:

UserID
MailAddress
MailServer
PassWd

Получает путь к папке с установленным Punto Switcher из приведенного ниже ключа реестра и читает содержимое файла «diary.dat»:

[HKCU\Software\Punto Switcher]

С целью защиты от сетевых экранов и антивирусов троянец ищет окна сообщений со следующими заголовками :

Create rule for <имя троянской программы>
Kaspersky Anti-Hacker - Create a rule for <имя троянской программы>
Kaspersky Anti-Hacker - Создать правило для <имя троянской программы>
Создать правило для <имя троянской программы>
Warning: Components Have Changed
Внимание: некоторые компоненты изменились
Скрытый процесс запрашивает сетевой доступ
Hidden Process Requests Network Access

Путем нажатия на соответствующие кнопки разрешает шпиону запрашиваемое действие.

Для этого троянец ищет в системе окна с именами классов:

AVP.AlertDialog
AVP.AhAppChangedDialog
AVP.AhLearnDialog

И имитирует в них нажатия на кнопки:

«Разрешить»
Allow
Skip
«Создать правило»
Apply to all
Remember this action. 

Также закрывает окна с именем класса AVP.Product_Notification.

Собранную информацию в виде отчетов вирус отправляет по HTTP с помощью ссылки:

http://by300.info/GOOD*****/gate.php

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. При помощи «Диспетчера задач» завершить троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).