Security Lab

Trojan-PSW.Win32. LdPinch.zm

Trojan-PSW.Win32. LdPinch.zm

Троянская программа предназначена для кражи конфиденциальной информации.

Троянская программа предназначена для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл), имеет размер 20205 байт, упакована с помощью MEW. Размер в распакованном виде — около 120 КБ.

Инсталляция

После запуска троянец создает в корневом каталоге Windows файл с именем ssmc.dll и размером 19968 байт:

%Windir%/ssmc.dll
name="doc3">Деструктивная активность

В процессе своей деятельности троянская программа сканирует следующие ветви системного реестра и из соответствующих программ пытается похитить сохраненные пароли:

[HKEY_LOCAL_MACHINE\Software\Ghisler\Total Commander]
[HKEY_LOCAL_MACHINE\Software\Ghisler\Windows Commander]
[HKEY_LOCAL_MACHINE\Software\Ghisler]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\&RQ]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]
[HKEY_LOCAL_MACHINE\Software\Mirabilis\ICQ\DefaultPrefs]
[HKEY_LOCAL_MACHINE\Software\Mirabilis\ICQ]
[HKEY_LOCAL_MACHINE\Software\Mirabilis]
[HKEY_LOCAL_MACHINE\Software\Miranda]
[HKEY_USERS\.DEFAULT\Identities\{AF3274A0-6E41-11DA-83A4-C394B5B26C06}\Software\Microsoft\Internet Account Manager\Accounts]
[HKEY_USERS\.DEFAULT\Identities\{AF3274A0-6E41-11DA-83A4-C394B5B26C06}\Software\Microsoft\Internet Account Manager]
[HKEY_USERS\.DEFAULT\Software\Far\Plugins\FTP\Hosts]
[HKEY_USERS\.DEFAULT\Software\Far\Plugins\FTP]
[HKEY_USERS\.DEFAULT\Software\Far\Plugins]
[HKEY_USERS\.DEFAULT\Software\Far]
[HKEY_USERS\.DEFAULT\Software\Ghisler\Total Commander]
[HKEY_USERS\.DEFAULT\Software\Ghisler\Windows Commander]
[HKEY_USERS\.DEFAULT\Software\Ghisler]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Account Manager\Accounts]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Account Manager]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\DefaultPrefs]
[HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\NewOwners]
[HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ]
[HKEY_USERS\.DEFAULT\Software\Mirabilis]
[HKEY_USERS\.DEFAULT\Software\RIT\The Bat!]
[HKEY_USERS\.DEFAULT\Software\RIT]

Похищенную информацию программа периодически отправляет на электронный адрес злоумышленника.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!