Программа относится к семейству троянцев, ворующих конфиденциальную информацию пользователя.
Является приложением Windows (PE EXE-файл). Имеет размер около 49 КБ. Написана на Ассемблере.
Инсталляция
При запуске троянец извлекает из своего тела и запускает на исполнение следующие файлы:
* %Temp%\Pinch;009.exe — имеет размер 26635 байт; * %Temp%\drag_and_go_back_spezial.swf — имеет размер 19006 байт.
Вирус добавляет параметр в ключ системного реестра:
[HKLM\System\ControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]
"<имя троянской программы>" = "<имя троянской программы>:*:Enabled:"
Деструктивная активность
Троянец непрерывно ищет в системе окна с именами класса «AVP.AlertDialog», «AVP.AhAppChangedDialog», «AVP.AhLearnDialog» и имитирует в них нажатия на кнопки «Разрешить», «Allow», «Skip», «Создать правило», «Apply to all», «Remember this action». Окна с именем «AVP.Product_Notification» напротив, закрываются.
Ведется поиск окон с заголовками, содержащими следующие строки: «Kaspersky Anti-Hacker — Создать правило для» или «Kaspersky Anti-Hacker — Create a rule for». В данных окнах имитируются нажатия на «Разрешить однократно» («Allow Once»).
Также троянская программа имитирует нажатия на кнопку «OK» в окнах с заголовками:
Внимание: некоторые компоненты изменились
Warning: Components Have Changed
Скрытый процесс запрашивает сетевой доступ
Hidden Process Requests Network Access
Троянец собирает информацию о жестком диске (в частности о количестве свободного места на нем), об учетной записи текущего пользователя, сетевом имени компьютера, версии операционной системы, типе процессора, возможностях экрана, установленных на компьютере программах, запущенных процессах и существующих в системе dialup-соединениях.
Вирус ищет файлы account.cfg и account.cfn в следующих папках:
%Documents and Settings%\<имя текущего пользователя>\Application Data\BatMail
%Documents and Settings%\<имя текущего пользователя>\Application Data\The Bat!
А также в папках, на которые указывают параметры ключа реестра:
[HKCU\Software\RIT\The Bat!]
Working Directory
ProgramDir
Содержимое всех указанных папок похищается.
Троянец получает из реестра путь к установленному Mirabilis ICQ, ищет в его папке файлы с расширением .DAT и похищает их содержимое.
Троянская программа считывает путь к клиенту Miranda из раздела реестра:
[HKLM\Software\Miranda]
Install_Dir
Здесь аналогично похищается содержимое DAT-файлов.
Также троянец ищет в ключе реестра [HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache] параметры с именами RQ.exe и RAT.exe. Если находит, получает его значение и использует для поиска файла «andrq.ini», если нет —получает значение ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\RQ]
UninstallString
Это значение также используется для поиска «andrq.ini».
Троянец получает путь к папке с установленным Trillian из ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]
Вирус читает содержимое файла «users\global\profiles.ini», извлекая информацию о текущих профилях пользователя, читает имена пользователей и пароли из файла «aim.ini».
Также троянец получает путь к папке с установленным Total Commander из следующих ключей реестра:
[HKCU\Software\Ghisler\Windows Commander]
[HKCU\Software\Ghisler\Total Commander]
[HKLM\Software\Ghisler\Windows Commander]
[HKLM\Software\Ghisler\Total Commander]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander]
UninstallString
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander XP]
UninstallString
[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache]
Totalcmd.exe
В данной папке, а также в папке «%WinDir%» ищет файл «wcx_ftp.ini» или «ftp.ini», где находит следующие параметры и получает их значения:
host username password directory method
Троянская программа получает путь к папке из ключа реестра [HKCU\Software\RimArts\B2\Settings], ищет в ней файл «Mailbox.ini», где находит следующие параметры и получает их значения:
UserID
MailAddress
MailServer
PassWd
Троянец получает список записей адресной книги, а также пароли на учетные записи Microsoft Outlook из ключа реестра:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\
Profiles\Outlook]
Вредоносная программа считывает путь к установленным CuteFTP и CuteFTP Professional, ищет в них файлы:
sm.dat
tree.dat
smdata.dat
Троянец получает значения следующих параметров из файла «%WinDir%\edialer.ini»:
LoginSaved
PasswordSaved
Троянская программа получает список ключей раздела [HKCU\Software\Far\Plugins\FTP\Hosts]. В найденных ключах получает значения следующих параметров:
HostName User Password Description
Из секции «WS_FTP» в файле «%WinDir%\win.ini» похищаются значения параметров DIR и DEFDIR. Значения используются для поиска файла «ws_ftp.ini», из которого читаются значения следующих параметров:
HOST
UID
PWD
Троянец читает из реестра путь к установленному браузеру Opera и ищет в его папке, а также в «%Documents and Settings%\<имя пользователя>\Application Data\Opera» файл «\profile\wand.dat» и похищает его содержимое.
Вирус получает из реестра путь к браузеру Mozilla и похищает содержимое всех файлов в папке «Profiles».
Троянец получает путь к программе QIP из ключа реестра:
[HKCU\Software\Microsoft\Windows\ShellNoRoam]
"qip.exe"
В папке данного клиента, в подпапке «Users» из файлов «Config.ini» читаются следующие значения:
Password
NPass
Троянец читает содержимое файла «%Documents and Settings%\<имя пользователя>\Application Data\Thunderbird\Profiles.ini» и извлекает из него пути к профилям, по которым далее ищет файлы «signons.txt» и «prefs.js» и получает их содержимое.
Получает значения всех подключей ключа реестра:
[HKCU\Software\Mail.Ru\Agent\mra_logins]
Троянец читает из файла «%Documents and Settings%\<имя пользователя>\Application Data\Qualcomm\Eudora\Eudora.ini» следующие параметры:
RealName
ReturnAddress
PopServer
LoginName
SavePasswordText
Читает путь к папке с установленным Punto Switcher из ключа реестра:
[HKCU\Software\Punto Switcher]
Читает содержимое файла «diary.dat».
Читает значения файла:
Documents and Settings%\<имя пользователя>\Application Data\.gaim\accounts.xml
Троянец похищает содержимое файлов, которые находятся в профилях Firefox.
Также получает путь к папке с установленным FileZilla из ключа реестра:
[HKCU\Software\FileZilla]
Install_Dir
И похищает содержимое файлов «FileZilla.xml» и «sitemanager.xml».
Вирус получает из реестра путь к папке с FlashFXP и похищает содержимое файла «Sites.dat».
Троянец похищает содержимое файлов:
%WinDir%\VD3User.dat
%WinDir%\Vd3main.dat
Также похищает содержимое файлов:
%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\Client 2.0\
Favorites\ Favorites.dat
%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\Favorites.dat
%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\History.dat
Из подключей ключа реестра [HKCU\Software\CoffeeCup Software\Internet\Profiles] похищает следующие значения:
HostName
Port
Username
Password
ItemName
Троянская программа читает значение параметра в ключе реестра:
[HKCU\Software\Microsoft\Windows\ShellNoRoam]
USDownloader.exe
Значение используется для поиска файлов:
USDownloader.lst
Depositfilesl.txt
Megauploadl.txt
Rapidsharel.txt
Троянец читает значение параметра в ключе реестра [HKCU\Software\Microsoft\Windows\ShellNoRoam] rapget.exe и использует его для поиска файлов:
rapget.ini links.dat
Троянец ищет в папке «%Documents and Settings%\<имя пользователя>\Мои документы» файлы с расширением .rdp и похищает их содержимое.
Отчет со всей собранной информацией троянская программа отправляет на электронную почту злоумышленика по адресу ****n@timeparty.org.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках