Trojan-PSW. Win32.Gip.108

Программа представляет собой конфигуратор троянцев, похищающих пароли пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 43520 байт. Написана на С++.

Деструктивная активность

Данный троянец предназначен для конфигурирования вирусов семейства Trojan-PSW.Win32.Gip.108.

Программа может изменять следующие параметры:

* почтовый адрес для отправки собранной информации;

* имя, под которым будет производиться копирование тела троянца в систему;

* почтовый SMTP-сервер, с помощью которого будет отсылаться письмо с похищенными сведениями;

* данные, прописываемые в поле «От кого» отправляемого письма;

* выбор отметки «Удалять» либо «Не удалять» относительно тела вируса после похищения информации.

Троянец собирает данные об исполняемых файлах в своем рабочем каталоге и его подкаталогах. Также получает сведения о текущей версии системной библиотеки «kernel32.dll». Собранная информация помещается в XML-файл, располагающийся во временном каталоге текущего пользователя, и отправляется на электронный адрес злоумышленника.

Сконфигурированная троянская программа похищает конфиденциальные данные пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 42496 байт. Упакована при помощи AsPack. Размер распакованного файла — около 77 КБ. Написана на С++.

При запуске данный троянец копирует свое тело под заданным при генерации именем в корневой каталог Windows.

Ссылка на исполняемый вирусный файл добавляется в один из ключей автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

Также троянец создает следующие ключи реестра:

[HKCU\Software\Microsoft\Windows]
"File1"
"File2"
"File3"
"Count"
"Date"

Меняет ключ системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Network]
"DisablePwdCaching"="0"

Таким образом, происходит включение кэширования паролей в браузере. Скэшированные пароли собираются.

Кроме того, вредоносная программа сканирует список контактов ICQ, похищает номера и пароли, используемые в системе.

Троянец собирает информацию о системе: имя компьютера, имя текущего пользователя, тип процессора, количество процессоров, количество памяти, количество свободной памяти, размер диска, объем свободного пространства на диске.

Далее он формирует сообщение, куда включает все собранные данные, и отправляет его злоумышленнику.

Троянец имеет возможность удалить себя из системы после завершения сбора информации.

Другие названия

Trojan-PSW.Win32.Gip.108 («Лаборатория Касперского») также известен как: Trojan.PSW.Gip.108 («Лаборатория Касперского»), PWS-CK.cfg (McAfee), PWSteal.Trojan (Symantec), Trojan.PWS.Gip.108 (Doctor Web), PWS:Gip.108 (RAV), TROJ_GIP.108 (Trend Micro), BDC/GIP.108.EDS (H+BEDV), Win32:Trojan-gen. (ALWIL), Backdoor.GIP.1.0.8 (SOFTWIN), Trj/PSW.Gip.108 (Panda), Win32/PSW.Gip.108 (Eset)