Троянец, предназначенный для кражи конфиденциальной информации пользователя.
Деструктивная активность
Троянская программа собирает информацию о жестком диске, количестве свободного места на нем, об учетной записи текущего пользователя, сетевом имени компьютера, версии операционной системы, локализации, типе процессора, возможностях экрана, установленных на компьютере приложениях, запущенных процессах и существующих в системе dialup-соединениях.
Вирус похищает сведения из файлов «account.cfg» и «account.cfn», расположенных в каталогах:
%AppData%\The Bat %AppData%\BatMail
Далее троянец получает путь к каталогу программы The Bat!, используя ключ реестра:
[HKLM\Software\RIT\The Bat!]
Working Directory или ProgramDir
Аналогичным путем также ищутся файлы «account.cfg» и «account.cfn» с последующим чтением их содержимого.
Вирус получает информацию о базах программы ICQ из ветви реестра:
[HKLM\Software\Mirabilis\ICQ\DefaultPrefs]
А также информацию о пользователях — из ветви:
[HKLM\Software\Mirabilis\ICQ\NewOwners]
Используя ключ реестра
[HKLM\Software\Miranda]
Install_Dir
троянец получает информацию о пути к каталогу, в котором располагается программа Miranda. В данном каталоге производится поиск файлов с расширением «.dat», из которых извлекаются номера и пароли от учетных записей пользователей службы мгновенного обмена сообщениями.
Аналогичным образом вредоносная программа получает путь к Trillian с последующим извлечением из ее конфигурационных файлов приватной информации пользователей.
Вирус также собирает следующую информацию:
* логины и пароли удаленных соединений;
* пароли к соединениям Windows Commander и Total Commander;
* пароли соединений CuteFTP, CuteFTP PRO;
* сохраненные пароли браузеров Mozilla и Opera;
* сохраненные пароли FileZilla;
* логины и пароли Mail.Ru Agent;
* пароли FTP-соединений FAR;
* пароли почтовика Thunderbird;
* пароли и дневники Punto Switcher;
* пароли AIM, GAIM, Eudora, E-Dialer, Outlook, INETCOMM Server, CoffeeCup Software, FlashXP, MirIM, SmartFTP;
* информацию из файла «%WinDir%\win.ini».
Собранные данные шифруются и сохраняются в файл «C:\sourcefile.dat», который далее отправляется в HTML-запросе на сервер злоумышленника:
http://readnews.ru/lamer/********/gate.php
Собираем и анализируем опыт профессионалов ИБ