RSS-каналы
Уровень опасности: 1
Trojan-PSW.Win32.LdPinch.epa
| Время детектирования | 08 фев 2008 16:33 MSK |
| Время выпуска обновления | 26 мар 2010 00:37 MSK |
| Описание опубликовано | 08 фев 2008 16:33 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа-шпион, предназначенная для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл). Написана на Delphi. Размер зараженных файлов варьируется в пределах от 80 до 240 КБ.
Инсталляция
После запуска троянец создает во временной папке «%Temp%» и запускает на исполнение следующие файлы:
- svchost.exe — имеет размер 171948 байт, детектируется Антивирусом Касперского как Trojan-PSW.Win32.Osmer.f;
- 91402_invoice.pdf — имеет размер 65879 байт. Является документом PDF, содержащим следующую информацию:
Также троянец сохраняет свою копию под оригинальным именем в корневом каталоге диска С:.
Деструктивная активность
Вредоносный процесс «svchost.exe» представляет собой эмулятор терминала платежной системы «ОСМП», предназначенной для осуществления платежей за услуги различного рода (сотовая связь, коммерческое телевидение, Интернет, ЖКХ).
При запуске троянец ищет в системе и закрывает окна с именем «Dealer».
Затем, подменяя интерфейс терминала, похищает пароли к учетным записям для работы с ним, а также номера банковских счетов.
Собранная информация отправляется на электронный адрес злоумышленника.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
c:/<оригинальное имя троянца>.exe %Temp%\91402_invoice.pdf %Temp%\svchost.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для кражи пользовательских аккаунтов (логин и пароль) с пораженных компьютеров. Название PSW произошло от Password-Stealing-Ware.
При запуске PSW-троянцы ищут необходимую им информацию сиcтемных файлы, хранящие различную конфиденциальную информацию или реестре. В случае успешного поиска программа отсылает найденные данные «хозяину». Для передачи данных могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.
Некоторые троянцы данного типа воруют регистрационную информацию к различному программному обеспечению.
Примечание: Trojan-PSW, занимающиеся кражей банковских аккаунтов, аккаунтов к интернет-пейджерам, а также аккаунтов к компьютерным играм относятся к Trojan-Banker, Trojan-IM и Trojan-GameThief соответственно. В отдельные типы данные вредоносные программы выделены в силу их многочисленности.
Trojan-PSW.
- Trojan:
Generic Dropper. hp (McAfee) - Mal/EncPk-HR (Sophos)
- W32/SuspPack.
T. gen!Eldorado (FPROT) - PWS:
Win32/Ldpinch. BE (MS(OneCare)) - Trojan.
MulDrop. 9787 (DrWeb) - Trojan.
PWS. LdPinch. TEX (BitDef7) - Win32:
Malware-gen (AVAST) - Trojan-PWS.
LDPinch. TEX (Ikarus) - Obfustat.
ABEQ (AVG) - TR/Crypt.
XPACK. Gen (AVIRA) - Infostealer (NAV)
- LdPinch.
gen4 (Norman) - Trojan-PSW.
Win32. LdPinch. epa [AVP] (FSecure)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей