Security Lab

Trojan-PSW.Win32. LdPinch.ato

Trojan-PSW.Win32. LdPinch.ato

Троянец, предназначенный для кражи конфиденциальной информации пользователя.

Троянец, предназначенный для кражи конфиденциальной информации пользователя. Похищает логины и пароли к различным сервисам и программам, а также системную информацию компьютера. Размер исполняемого файла — 21398 байт. Упакован с помощью MEW. Размер распакованного файла — около 280 КБ.

Деструктивная активность

Троянская программа собирает информацию о жестком диске, количестве свободного места на нем, об учетной записи текущего пользователя, сетевом имени компьютера, версии операционной системы, локализации, типе процессора, возможностях экрана, установленных на компьютере приложениях, запущенных процессах и существующих в системе dialup-соединениях.

Вирус похищает сведения из файлов «account.cfg» и «account.cfn», расположенных в каталогах:

  %AppData%\The Bat
  %AppData%\BatMail
  

Далее троянец получает путь к каталогу программы The Bat!, используя ключ реестра:

[HKLM\Software\RIT\The Bat!] 
Working Directory или ProgramDir

Аналогичным путем также ищутся файлы «account.cfg» и «account.cfn» с последующим чтением их содержимого.

Вирус получает информацию о базах программы ICQ из ветви реестра:

[HKLM\Software\Mirabilis\ICQ\DefaultPrefs]

А также информацию о пользователях — из ветви:

 
[HKLM\Software\Mirabilis\ICQ\NewOwners]

Используя ключ реестра

[HKLM\Software\Miranda]
Install_Dir

троянец получает информацию о пути к каталогу, в котором располагается программа Miranda. В данном каталоге производится поиск файлов с расширением «.dat», из которых извлекаются номера и пароли от учетных записей пользователей службы мгновенного обмена сообщениями.

Аналогичным образом вредоносная программа получает путь к Trillian с последующим извлечением из ее конфигурационных файлов приватной информации пользователей.

Вирус также собирает следующую информацию:

* логины и пароли удаленных соединений;

* пароли к соединениям Windows Commander и Total Commander;

* пароли соединений CuteFTP, CuteFTP PRO;

* сохраненные пароли браузеров Mozilla и Opera;

* сохраненные пароли FileZilla;

* логины и пароли Mail.Ru Agent;

* пароли FTP-соединений FAR;

* пароли почтовика Thunderbird;

* пароли и дневники Punto Switcher;

* пароли AIM, GAIM, Eudora, E-Dialer, Outlook, INETCOMM Server, CoffeeCup Software, FlashXP, MirIM, SmartFTP;

* информацию из файла «%WinDir%\win.ini».

Собранные данные шифруются и сохраняются в файл «C:\sourcefile.dat», который далее отправляется в HTML-запросе на сервер злоумышленника:

  http://readnews.ru/lamer/********/gate.php

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!