Троянская программа, ворующая пароли пользователя.
Является приложением Windows (PE EXE-файл). Имеет размер около 23 КБ. Упакована при помощи UPX, распакованный размер — около 250 КБ. Написана на Ассемблере.
Инсталляция
При инсталляции троянец извлекает из своего тела следующий файл:
%System%\incdrv.sys
Деструктивная активность
После запуска троянец добавляет следующую запись в системный реестр:
[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]
"<имя троянской программы>"="<имя троянской программы>:*:Enabled:
<имя троянца без расширения>"
Троянец непрерывно ищет в системе окна с именами класса AVP.AlertDialog, AVP.AhAppChangedDialog, AVP.AhLearnDialog и имитирует в них нажатия на кнопку «Разрешить».
Троянец непрерывно ищет в системе окна с заголовком, содержащим строки «Создать правило для» или «Create a rule for» и имитирует нажатия на кнопку «Разрешить однократно» или «Allow Once».
Также троянская программа имитирует нажатия на кнопку OK в окнах с заголовками:
* Внимание: некоторые компоненты изменились * Warning: Components Have Changed * Скрытый процесс запрашивает сетевой доступ * Hidden Process Requests Network Access
Троянец собирает информацию о жестком диске, количестве свободного места на нем, учетной записи текущего пользователя, сетевом имени компьютера, версии операционной системы, типе процессора, возможностях экрана, установленных на компьютере программах, запущенных процессах и существующих в системе dialup-соединениях.
Троянец ищет файлы:
account.cfg account.cfn
В папках:
%UserProfile%\Application Data\BatMail
%UserProfile%\Application Data\The Bat!
А так же в папках, на которые указывают параметры ключа реестра:
[HKCU\Software\RIT\The Bat!]
Working Directory
ProgramDir
И похищает их содержимое.
Троянец получает из реестра путь к установленному Mirabilis ICQ, ищет в его папке файлы с расширением DAT и похищает их содержимое.
Также получает значения следующих ключей реестра:
[HKCU\Software\Mirabilis\ICQ\NewOwners]
[HKLM\Software\Mirabilis\ICQ\NewOwners]
Троянская программа считывает путь к установленой Miranda из раздела реестра:
[HKLM\Software\Miranda]
Install_Dir
Ищет в нем файлы с расширением DAT и похищает их содержимое.
Также троянец ищет в параметрах ключа реестра:
[HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache]
Параметр с именем RQ.exe и RAT.exe. И если находит, получает его значение и использует для поиска файла andrq.ini.
Если нет, то получает значение ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RQ]
UninstallString
И использует его для поиска файла andrq.ini.
Троянец получает путь к папке с установленным Trillian из ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]
Читает содержимое файла users\global\profiles.ini, извлекая информацию о текущих профилях пользователя. Также читает имена пользователей и пароли из файла aim.ini.
Также троянец получает путь к папке с установленным Total Commander из следующих ключей реестра:
[HKCU\Software\Ghisler\Windows Commander]
[HKCU\Software\Ghisler\Total Commander]
[HKLM\Software\Ghisler\Windows Commander]
[HKLM\Software\Ghisler\Total Commander]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander]
UninstallString
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander XP]
UninstallString
[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache] Totalcmd.exe
В этой папке, а также в папке %WinDir% ищет файл wcx_ftp.ini или ftp.ini, в котором ищет следующие параметры и получает их значения:
host username password directory method
Троянская программа получает путь к папке из следующего ключа реестра:
[HKCU\Software\RimArts\B2\Settings]
Ищет в ней файл Mailbox.ini, в котором ищет следующие параметры и получает их значения:
UserID
MailAddress
MailServer
PassWd
Троянец получает список записей адресной книги а так же пароли на учетные записи Microsoft Outlook из ключа реестра:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\
Profiles\Outlook]
Троянец получает путь к установленному CuteFTP, ищет в нем файлы:
sm.dat tree.dat smdata.dat
И похищает их содержимое.
Троянец получает значения следующих параметров из файла %WinDir%\edialer.ini:
LoginSaved
PasswordSaved
Троянская программа получает список ключей раздела [HKCU\Software\Far\Plugins\FTP\Hosts], в найденных ключах получает значения следующих параметров:
HostName
User
Password
Description
Троянец читает из реестра путь к установленному браузеру Opera и ищет в его папке, а также по указанному пути:
%UserProfile%\Application Data\Opera
Файл \profile\wand.dat и похищает его содержимое.
Получает из реестра путь к установленному браузеру Mozilla и похищает содержимое всех файлов в папке Profiles.
Троянец получает путь к программе QIP из ключа реестра:
[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam]
"qip.exe"
И ищет в его папке в подпапке Users все имеющиеся папки, после чего читает из файлов Config.ini расположенных в этих папках следующие значения:
Password NPass
Троянец читает содержимое файла %UserProfile%\Application Data\Thunderbird\Profiles.ini и извлекает из него пути к профилям, по которым далее ищет файлы signons.txt и prefs.js и получает их содержимое.
Получает значения всех подключей ключа реестра:
[HKCU\Software\Mail.Ru\Agent\mra_logins]
Троянец читает из файла %UserProfile%\Application Data\Qualcomm\Eudora\Eudora.ini следующие параметры:
RealName
ReturnAddress
PopServer
LoginName
SavePasswordText
Читает путь к папке с установленным Punto Switcher из ключа реестра:
[HKCU\Software\Punto Switcher]
И читает содержимое файла diary.dat.
Читает значения файла %UserProfile%\Application Data\.gaim\accounts.xml
Троянец похищает содержимое файлов, которые находятся в профилях Firefox.
Также получает путь к папке с установленным FileZilla из ключа реестра:
[HKCU\Software\FileZilla]
Install_Dir
И похищает содержимое файла FileZilla.xml.
Получает из реестра путь к папке с FlashFXP и похищает содержимое файла Sites.dat.
Троянец похищает содержимое файлов:
%WinDir%\VD3User.dat
%WinDir%\Vd3main.dat
Также похищает содержимое файлов:
%UserProfile%\Application Data\SmartFTP\Client 2.0\Favorites\ Favorites.dat
%UserProfile%\Application Data\SmartFTP\Favorites.dat
%UserProfile%\Application Data\SmartFTP\History.dat
Похищает следующие значения
HostName Port Username Password ItemName
Из подключей ключа реестра:
[HKCU\Software\CoffeeCup Software\Internet\Profiles]
Троянская программа читает значение параметра в ключе реестра:
[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam]
USDownloader.exe
И использует его для поиска файлов:
USDownloader.lst
Depositfilesl.txt
Megauploadl.txt
Rapidsharel.txt
Содержимое которых похищает.
Троянец читает значение параметра в ключе реестра:
[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam]
rapget.exe
И использует его для поиска файлов:
rapget.ini links.dat
Содержимое которых похищает.
Собранные данные троянская программа сохраняет в файле c:\rep.bin. После чего отправляет содержимое файла на электронную почту злоумышленника x****iii@mail.by и удаляет данный файл.
Спойлер: она начинается с подписки на наш канал