Программа представляет собой конфигуратор троянцев, похищающих пароли пользователя.
Деструктивная активность
Данный троянец предназначен для конфигурирования вирусов семейства Trojan-PSW.Win32.Gip.108.
Программа может изменять следующие параметры:
* почтовый адрес для отправки собранной информации;
* имя, под которым будет производиться копирование тела троянца в систему;
* почтовый SMTP-сервер, с помощью которого будет отсылаться письмо с похищенными сведениями;
* данные, прописываемые в поле «От кого» отправляемого письма;
* выбор отметки «Удалять» либо «Не удалять» относительно тела вируса после похищения информации.
Троянец собирает данные об исполняемых файлах в своем рабочем каталоге и его подкаталогах. Также получает сведения о текущей версии системной библиотеки «kernel32.dll». Собранная информация помещается в XML-файл, располагающийся во временном каталоге текущего пользователя, и отправляется на электронный адрес злоумышленника.
Сконфигурированная троянская программа похищает конфиденциальные данные пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 42496 байт. Упакована при помощи AsPack. Размер распакованного файла — около 77 КБ. Написана на С++.
При запуске данный троянец копирует свое тело под заданным при генерации именем в корневой каталог Windows.
Ссылка на исполняемый вирусный файл добавляется в один из ключей автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
Также троянец создает следующие ключи реестра:
[HKCU\Software\Microsoft\Windows]
"File1"
"File2"
"File3"
"Count"
"Date"
Меняет ключ системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Network]
"DisablePwdCaching"="0"
Таким образом, происходит включение кэширования паролей в браузере. Скэшированные пароли собираются.
Кроме того, вредоносная программа сканирует список контактов ICQ, похищает номера и пароли, используемые в системе.
Троянец собирает информацию о системе: имя компьютера, имя текущего пользователя, тип процессора, количество процессоров, количество памяти, количество свободной памяти, размер диска, объем свободного пространства на диске.
Далее он формирует сообщение, куда включает все собранные данные, и отправляет его злоумышленнику.
Троянец имеет возможность удалить себя из системы после завершения сбора информации.
Другие названия
Trojan-PSW.Win32.Gip.108 («Лаборатория Касперского») также известен как: Trojan.PSW.Gip.108 («Лаборатория Касперского»), PWS-CK.cfg (McAfee), PWSteal.Trojan (Symantec), Trojan.PWS.Gip.108 (Doctor Web), PWS:Gip.108 (RAV), TROJ_GIP.108 (Trend Micro), BDC/GIP.108.EDS (H+BEDV), Win32:Trojan-gen. (ALWIL), Backdoor.GIP.1.0.8 (SOFTWIN), Trj/PSW.Gip.108 (Panda), Win32/PSW.Gip.108 (Eset)
Спойлер: мы раскрываем их любимые трюки