Security Lab

Trojan-PSW.Win32. LdPinch.byc

Trojan-PSW.Win32. LdPinch.byc

Программа относится к семейству троянцев, ворующих конфиденциальную информацию пользователя.

Программа относится к семейству троянцев, ворующих конфиденциальную информацию пользователя. Предназначена для кражи паролей.

Является приложением Windows (PE EXE-файл). Имеет размер 43377 байт. Написана на Ассемблере.

Деструктивная активность

После запуска вирус добавляет следующую запись в системный реестр:

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]
"<имя троянской программы>" = "<имя троянской программы>:*:Enabled:
<имя троянской программы без расширения>"

Троянец непрерывно ищет в системе окна с именами класса «AVP.AlertDialog», «AVP.AhAppChangedDialog», «AVP.AhLearnDialog» и имитирует в них нажатия на кнопки «Разрешить», «Allow», «Skip», «Создать правило», «Apply to all», «Remember this action». Окна с именем «AVP.Product_Notification» напротив, закрываются.

Ведется поиск окон с заголовками, содержащими следующие строки: «Kaspersky Anti-Hacker — Создать правило для» или «Kaspersky Anti-Hacker — Create a rule for». В данных окнах имитируются нажатия на «Разрешить однократно» («Allow Once»).

Также троянская программа имитирует нажатия на кнопку «OK» в окнах с заголовками:

Внимание: некоторые компоненты изменились
Warning: Components Have Changed
Скрытый процесс запрашивает сетевой доступ
Hidden Process Requests Network Access

Троянец собирает информацию о жестком диске (в частности о количестве свободного места на нем), об учетной записи текущего пользователя, сетевом имени компьютера, версии операционной системы, типе процессора, возможностях экрана, установленных на компьютере программах, запущенных процессах и существующих в системе dialup-соединениях.

Вирус ищет файлы account.cfg и account.cfn в следующих папках:

%Documents and Settings%\<имя текущего пользователя>\Application Data\BatMail
%Documents and Settings%\<имя текущего пользователя>\Application Data\The Bat!

А также в папках, на которые указывают параметры ключа реестра:

[HKCU\Software\RIT\The Bat!]
Working Directory
ProgramDir

Содержимое всех указанных папок похищается.

Троянец получает из реестра путь к установленному Mirabilis ICQ, ищет в его папке файлы с расширением .DAT и похищает их содержимое.

Троянская программа считывает путь к клиенту Miranda из раздела реестра:

[HKLM\Software\Miranda]
Install_Dir

Здесь аналогично похищается содержимое DAT-файлов.

Также троянец ищет в ключе реестра [HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache] параметры с именами RQ.exe и RAT.exe. Если находит, получает его значение и использует для поиска файла «andrq.ini», если нет —получает значение ключа реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\RQ]
UninstallString

Это значение также используется для поиска «andrq.ini».

Троянец получает путь к папке с установленным Trillian из ключа реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]

Вирус читает содержимое файла «users\global\profiles.ini», извлекая информацию о текущих профилях пользователя, читает имена пользователей и пароли из файла «aim.ini».

Также троянец получает путь к папке с установленным Total Commander из следующих ключей реестра:

[HKCU\Software\Ghisler\Windows Commander]

[HKCU\Software\Ghisler\Total Commander]

[HKLM\Software\Ghisler\Windows Commander]

[HKLM\Software\Ghisler\Total Commander]

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander]
UninstallString

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander XP]
UninstallString

[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache]
Totalcmd.exe

В данной папке, а также в папке «%WinDir%» ищет файл «wcx_ftp.ini» или «ftp.ini», где находит следующие параметры и получает их значения:

host
username
password
directory
method

Троянская программа получает путь к папке из ключа реестра [HKCU\Software\RimArts\B2\Settings], ищет в ней файл «Mailbox.ini», где находит следующие параметры и получает их значения:

 
UserID
MailAddress
MailServer
PassWd

Троянец получает список записей адресной книги, а также пароли на учетные записи Microsoft Outlook из ключа реестра:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\
Profiles\Outlook]

Вредоносная программа считывает путь к установленным CuteFTP и CuteFTP Professional, ищет в них файлы:

sm.dat
tree.dat
smdata.dat

Троянец получает значения следующих параметров из файла «%WinDir%\edialer.ini»:

 
LoginSaved
PasswordSaved

Троянская программа получает список ключей раздела [HKCU\Software\Far\Plugins\FTP\Hosts]. В найденных ключах получает значения следующих параметров:

HostName
User
Password
Description

Из секции «WS_FTP» в файле «%WinDir%\win.ini» похищаются значения параметров DIR и DEFDIR. Значения используются для поиска файла «ws_ftp.ini», из которого читаются значения следующих параметров:

HOST
UID
PWD

Троянец читает из реестра путь к установленному браузеру Opera и ищет в его папке, а также в «%Documents and Settings%\<имя пользователя>\Application Data\Opera» файл «\profile\wand.dat» и похищает его содержимое.

Вирус получает из реестра путь к браузеру Mozilla и похищает содержимое всех файлов в папке «Profiles».

Троянец получает путь к программе QIP из ключа реестра:

[HKCU\Software\Microsoft\Windows\ShellNoRoam]
"qip.exe"

В папке данного клиента, в подпапке «Users» из файлов «Config.ini» читаются следующие значения:

Password
NPass

Троянец читает содержимое файла «%Documents and Settings%\<имя пользователя>\Application Data\Thunderbird\Profiles.ini» и извлекает из него пути к профилям, по которым далее ищет файлы «signons.txt» и «prefs.js» и получает их содержимое.

Получает значения всех подключей ключа реестра:

[HKCU\Software\Mail.Ru\Agent\mra_logins]

Троянец читает из файла «%Documents and Settings%\<имя пользователя>\Application Data\Qualcomm\Eudora\Eudora.ini» следующие параметры:

RealName
ReturnAddress
PopServer
LoginName
SavePasswordText

Читает путь к папке с установленным Punto Switcher из ключа реестра:

[HKCU\Software\Punto Switcher]

Читает содержимое файла «diary.dat».

Читает значения файла:

Documents and Settings%\<имя пользователя>\Application Data\.gaim\accounts.xml

Троянец похищает содержимое файлов, которые находятся в профилях Firefox.

Также получает путь к папке с установленным FileZilla из ключа реестра:

[HKCU\Software\FileZilla]
Install_Dir

И похищает содержимое файлов «FileZilla.xml» и «sitemanager.xml».

Вирус получает из реестра путь к папке с FlashFXP и похищает содержимое файла «Sites.dat».

Троянец похищает содержимое файлов:

%WinDir%\VD3User.dat
%WinDir%\Vd3main.dat

Также похищает содержимое файлов:

%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\Client 2.0\
Favorites\ Favorites.dat

%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\Favorites.dat

%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\History.dat

Из подключей ключа реестра [HKCU\Software\CoffeeCup Software\Internet\Profiles] похищает следующие значения:

HostName
Port
Username
Password
ItemName

Троянская программа читает значение параметра в ключе реестра:

[HKCU\Software\Microsoft\Windows\ShellNoRoam]
USDownloader.exe

Значение используется для поиска файлов:

USDownloader.lst
Depositfilesl.txt
Megauploadl.txt
Rapidsharel.txt

Троянец читает значение параметра в ключе реестра [HKCU\Software\Microsoft\Windows\ShellNoRoam] rapget.exe и использует его для поиска файлов:

 
rapget.ini
links.dat

Троянец ищет в папке «%Documents and Settings%\<имя пользователя>\Мои документы» файлы с расширением .rdp и похищает их содержимое.

Отчет со всей собранной информацией троянская программа отправляет на электронную почту злоумышленика по адресу pro_***@mail.ru.

Ученые доказали: чтение нашего канала продлевает жизнь!

Ладно, не доказали. Но мы работаем над этим

Поучаствуйте в эксперименте — подпишитесь