Троянская программа-шпион, предназначенная для кражи конфиденциальной информации пользователя.
Инсталляция
После запуска троянец добавляет следующую запись в системный реестр:
[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]
"<имя троянской программы>" = "<имя троянской программы>:*:Enabled:
<имя троянца без расширения>"
Деструктивная активность
Вирус представляет собой шпионскую программу, ворующую пароли и учетные записи пользователя из следующих приложений:
1. Служб обмена мгновенными сообщениями:
* Miranda IM
Троянская программа считывает путь к установленой Miranda IM из раздела реестра:
[HKLM\Software\Miranda] Install_Dir
Ищет в нем файлы с расширением DAT и похищает их содержимое.
* Mirabilis ICQ
Троянец получает из реестра путь к установленному Mirabilis ICQ, ищет в его папке файлы с расширением DAT и похищает их содержимое. Также получает значения следующих ключей реестра:
[HKCU\Software\Mirabilis\ICQ\NewOwners] [HKLM\Software\Mirabilis\ICQ\NewOwners] * Trillian
Троянец получает путь к папке с установленным Trillian из ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]
Читает содержимое файла «users\global\profiles.ini», извлекая информацию о текущих профилях пользователя. Также читает имена пользователей и пароли из файла «aim.ini».
* QIP
Троянец получает путь к программе QIP из указанных ниже ключей реестра и ищет в его папке в подпапке Users все имеющиеся записи:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Q2005]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\QIP2005]
[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam]
"qip.exe"
После чего читает из файлов «Config.ini», расположенных в этих папках, следующие значения:
Password NPass * Mail.Ru Agent
Получает значения всех подключей ключа реестра:
[HKCU\Software\Mail.Ru\Agent\mra_logins]
2. Почтовых клиентов:
* The Bat
Для этого ищет в папках:
%UserProfile%\Application Data\BatMail
%UserProfile%\Application Data\The Bat!
файлы:
account.cfg account.cfn
Из них похищает учетные записи и пароли к ним.
* Outlook
По данным из ключа:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\ Windows Messaging Subsystem\Profiles\Outlook]
3. FTP-служб:
* CuteFTP 2.0-7.0
Из файлов:
sm.dat tree.dat smdata.dat * SmartFTP
Из файлов:
%UserProfile%\Application Data\SmartFTP\Client 2.0\Favorites\ Favorites.dat %UserProfile%\Application Data\SmartFTP\Favorites.dat %UserProfile%\Application Data\SmartFTP\History.dat
Похищает следующие значения
HostName Port Username Password ItemName
4. FTP-соединений файловых менеджеров:
* Far
* Total Commander
* Windows Commander
Получает путь к ним из следующих ключей реестра:
[HKCU\Software\Ghisler\Windows Commander] [HKCU\Software\Ghisler\Total Commander] [HKLM\Software\Ghisler\Windows Commander] [HKLM\Software\Ghisler\Total Commander] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Uninstall\Total Commander] UninstallString [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Uninstall\Total Commander XP] UninstallString [HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache] Totalcmd.exe
Также в файле «<папка с установленным Windows Commander>\Profiles\Prof\ftp.ini» вирус ищет следующие параметры и получает их значения:
host username password directory method В
Получает путь к «WS_FTP из %WinDir%\win.ini», после чего считвает содержимое файла «wcx_ftp.ini». 5. Интернет-браузеров:
* Opera
Из файлов:
%UserProfile%\Application Data\Opera\profile\wand.dat %UserProfile%\Application Data\Opera\Mail\accounts.ini * Mozilla Firefox Из файла «%UserProfile%\Application Data\Mozilla\profiles». * Thunderbird
Из файла «%UserProfile%\Application Data\ThunderBird\profiles.ini» извлекает пути к профилям, по которым далее ищет файлы «signons.txt» и «prefs.js» и получает их содержимое.
* FileZilla
Получая путь к папке с установленным FileZilla из приведенного ключа реестра, похищает содержимое файлов «FileZilla.xml» и «sitemanager.xml»:
[HKCU\Software\FileZilla] Install_Dir
Троянец читает из файла «%UserProfile%\Application Data\Qualcomm\Eudora\Eudora.ini» следующие параметры:
RealName
ReturnAddress
PopServer
LoginName
SavePasswordText
Троянец получает значения следующих параметров из файла «%WinDir%\edialer.ini»:
LoginSaved
PasswordSaved
Похищает содержимое файла «%UserProfile%\Application Data\.gaim\accounts.xml».
Получает из реестра путь к папке с FlashFXP и похищает содержимое файла «Sites.dat».
Вредоносная программа читает содержимое файлов:
%WinDir%\VD3User.dat
%WinDir%\Vd3main.dat
Данные из ключа:
[HKCU\Software\CoffeeCup Software\Internet\Profiles]
Вирус читает значение параметра в ключе реестра:
[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam]
USDownloader.exe
И использует его для поиска нижеприведенных файлов, содержимое которых похищает:
USDownloader.lst
Depositfilesl.txt
Megauploadl.txt
Rapidsharel.txt
Троянец читает значение параметра в ключе реестра:
[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam]
rapget.exe
И использует его для поиска нижеприведенных файлов, содержимое которых похищает:
rapget.ini
links.dat
Троянец ищет в папке «%UserProfile%\Мои документы» файлы с расширением «.rdp» и похищает их содержимое.
Также троянец ищет в параметрах ключа реестра:
[HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache]
параметр с именами RQ.exe и RAT.exe. И если находит, получает его значение и использует для поиска файла «andrq.ini».
Если не находит, то получает значение ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RQ]
UninstallString
и использует его для поиска файла «andrq.ini».
Троянская программа получает путь к папке из следующего ключа реестра:
[HKCU\Software\RimArts\B2\Settings]
Ищет в ней файл «Mailbox.ini», в котором ищет следующие параметры и получает их значения:
UserID
MailAddress
MailServer
PassWd
Троянец получает путь к папке с установленным Punto Switcher 2.x и из приведенного ниже ключа реестра и читает содержимое файла «diary.dat»:
[HKCU\Software\Punto Switcher]
С целью защиты от сетевых экранов и антивирусов троянец ищет окна сообщений со следующими заголовками:
Create rule for <имя троянской программы>
Kaspersky Anti-Hacker - Create a rule for <имя троянской программы>
Kaspersky Anti-Hacker - Создать правило для <имя троянской программы>
Создать правило для <имя троянской программы>
Warning: Components Have Changed
Внимание: некоторые компоненты изменились
Скрытый процесс запрашивает сетевой доступ
Hidden Process Requests Network Access
Путем нажатия на соответствующие кнопки троянец разрешает запрашиваемые действия.
Вирус ищет в системе окна с именами классов:
AVP.AlertDialog
AVP.AhAppChangedDialog
AVP.AhLearnDialog
Имитирует в них нажатия на кнопки:
«Разрешить»
Allow
Skip
«Создать правило»
Apply to all
Remember this action.
Также закрывает окна с именем класса:
AVP.Product_Notification
И завершает следующие процессы:
avgnt.exe
avcenter.exe
AVPUPD.EXE
AVPCC.EXE
AVPM.EXE
AVP32.EXE
AVP.EXE
Nisserv.exe
mcvsshld.exe
mcvsftsn.exe
mcshield.exe
RavMon.exe
RavMonD.exe
MailMon.EXE
NAVW32.exe
zonealarm.exe
Собранную информацию в виде отчетов с указанием имени компьютера пользователя троянец отправляет злоумышленникам по HTTP с помощью ссылки:
http://electron.h16.ru/****.php
Но доступ к знаниям открыт для всех