Trojan-PSW.Win32. LdPinch.zm
Trojan-PSW.Win32. LdPinch.zm
Alexander Antipov
Троянская программа предназначена для кражи конфиденциальной информации.
Троянская программа предназначена для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл), имеет размер 20205 байт, упакована с помощью MEW. Размер в распакованном виде — около 120 КБ.
Инсталляция
После запуска троянец создает в корневом каталоге Windows файл с именем ssmc.dll и размером 19968 байт:
%Windir%/ssmc.dll
| name="doc3">Деструктивная активность |
В процессе своей деятельности троянская программа сканирует следующие ветви системного реестра и из соответствующих программ пытается похитить сохраненные пароли:
[HKEY_LOCAL_MACHINE\Software\Ghisler\Total Commander]
[HKEY_LOCAL_MACHINE\Software\Ghisler\Windows Commander]
[HKEY_LOCAL_MACHINE\Software\Ghisler]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\&RQ]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]
[HKEY_LOCAL_MACHINE\Software\Mirabilis\ICQ\DefaultPrefs]
[HKEY_LOCAL_MACHINE\Software\Mirabilis\ICQ]
[HKEY_LOCAL_MACHINE\Software\Mirabilis]
[HKEY_LOCAL_MACHINE\Software\Miranda]
[HKEY_USERS\.DEFAULT\Identities\{AF3274A0-6E41-11DA-83A4-C394B5B26C06}\Software\Microsoft\Internet Account Manager\Accounts]
[HKEY_USERS\.DEFAULT\Identities\{AF3274A0-6E41-11DA-83A4-C394B5B26C06}\Software\Microsoft\Internet Account Manager]
[HKEY_USERS\.DEFAULT\Software\Far\Plugins\FTP\Hosts]
[HKEY_USERS\.DEFAULT\Software\Far\Plugins\FTP]
[HKEY_USERS\.DEFAULT\Software\Far\Plugins]
[HKEY_USERS\.DEFAULT\Software\Far]
[HKEY_USERS\.DEFAULT\Software\Ghisler\Total Commander]
[HKEY_USERS\.DEFAULT\Software\Ghisler\Windows Commander]
[HKEY_USERS\.DEFAULT\Software\Ghisler]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Account Manager\Accounts]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Account Manager]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\DefaultPrefs]
[HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\NewOwners]
[HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ]
[HKEY_USERS\.DEFAULT\Software\Mirabilis]
[HKEY_USERS\.DEFAULT\Software\RIT\The Bat!]
[HKEY_USERS\.DEFAULT\Software\RIT]
[HKEY_LOCAL_MACHINE\Software\Ghisler\Windows Commander]
[HKEY_LOCAL_MACHINE\Software\Ghisler]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\&RQ]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]
[HKEY_LOCAL_MACHINE\Software\Mirabilis\ICQ\DefaultPrefs]
[HKEY_LOCAL_MACHINE\Software\Mirabilis\ICQ]
[HKEY_LOCAL_MACHINE\Software\Mirabilis]
[HKEY_LOCAL_MACHINE\Software\Miranda]
[HKEY_USERS\.DEFAULT\Identities\{AF3274A0-6E41-11DA-83A4-C394B5B26C06}\Software\Microsoft\Internet Account Manager\Accounts]
[HKEY_USERS\.DEFAULT\Identities\{AF3274A0-6E41-11DA-83A4-C394B5B26C06}\Software\Microsoft\Internet Account Manager]
[HKEY_USERS\.DEFAULT\Software\Far\Plugins\FTP\Hosts]
[HKEY_USERS\.DEFAULT\Software\Far\Plugins\FTP]
[HKEY_USERS\.DEFAULT\Software\Far\Plugins]
[HKEY_USERS\.DEFAULT\Software\Far]
[HKEY_USERS\.DEFAULT\Software\Ghisler\Total Commander]
[HKEY_USERS\.DEFAULT\Software\Ghisler\Windows Commander]
[HKEY_USERS\.DEFAULT\Software\Ghisler]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Account Manager\Accounts]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Account Manager]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\DefaultPrefs]
[HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\NewOwners]
[HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ]
[HKEY_USERS\.DEFAULT\Software\Mirabilis]
[HKEY_USERS\.DEFAULT\Software\RIT\The Bat!]
[HKEY_USERS\.DEFAULT\Software\RIT]
Похищенную информацию программа периодически отправляет на электронный адрес злоумышленника.
Наш канал горячее, чем поверхность Солнца!
5778 К? Пф! У нас градус знаний зашкаливает!