Поведение

Trojan-PSW, кража паролей.

Технические детали

Троянская программа-шпион, предназначенная для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл). Написана на Ассемблере. Размер зараженных файлов существенно варьируется; все экземпляры данной модификации троянца имеют одинаковый функционал.

Инсталляция

После запуска троянец добавляет следующую запись в системный реестр:

[HKLMSystemCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList]
"<имя троянской программы>" = "<имя троянской программы>:*:Enabled:<имя троянца без расширения>"

Деструктивная активность

Троянец представляет собой шпионскую программу, ворующую пароли и учетные записи пользователя из следующих программ:

Клиентов систем мгновенного обмена сообщениями:

Miranda IM

Троянская программа считывает путь к установленой Miranda IM из раздела реестра:

[HKLMSoftwareMiranda]
Install_Dir

Ищет в нем файлы с расширением DAT и похищает их содержимое.

Mirabilis ICQ

Троянец получает из реестра путь к установленному Mirabilis ICQ, ищет в его папке файлы с расширением DAT и похищает их содержимое. Также получает значения следующих ключей реестра:

[HKCUSoftwareMirabilisICQNewOwners]
[HKLMSoftwareMirabilisICQNewOwners]
Trillian

Троянец получает путь к папке с установленным Trillian из ключа реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallTrillian]

Читает содержимое файла «usersglobalprofiles.ini», извлекая информацию о текущих профилях пользователя. Также читает имена пользователей и пароли из файла «aim.ini».

QIP

Троянец получает путь к программе QIP из указанных ниже ключей реестра и ищет в его папке в подпапке «Users» все имеющиеся папки:

[HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallQ2005]
[HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallQIP2005]
[HKCUSOFTWAREMicrosoftWindowsShellNoRoam]
"qip.exe"

После чего читает из файлов «Config.ini», расположенных в этих папках, следующие значения:

Password
NPass
Mail.Ru Agent

Получает значения всех подключей ключа реестра:

[HKCUSoftwareMail.RuAgentmra_logins]

Почтовых клиентов:

The Bat

Для этого ищет в папках:

%UserProfile%Application DataBatMail
%UserProfile%Application DataThe Bat!

или ключах реестра:

[HKCUSoftwareRITThe Bat!]
Working Directory
ProgramDir

следующие файлы:

account.cfg
account.cfn

Из них похищает учетные записи и пароли к ним.

Outlook

По данным из ключа:

[HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows Messaging SubsystemProfilesOutlook]
FTP-служб:
CuteFTP

Из файлов:

sm.dat
tree.dat
smdata.dat
SmartFTP

Из файлов:

%UserProfile%Application DataSmartFTPClient 2.0Favorites Favorites.dat
%UserProfile%Application DataSmartFTPFavorites.dat
%UserProfile%Application DataSmartFTPHistory.dat

похищает следующие значения:

HostName
Port
Username
Password
ItemName

FTP-соединений файловых менеджеров:

Total Commander, Windows Commander

Вирус получает путь к ним из следующих ключей реестра:

[HKCUSoftwareGhislerWindows Commander]
[HKCUSoftwareGhislerTotal Commander]
[HKLMSoftwareGhislerWindows Commander]
[HKLMSoftwareGhislerTotal Commander]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallTotal Commander]
UninstallString
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallTotal Commander XP]
UninstallString
[HKCUSOFTWAREMicrosoftWindowsShellNoRoamMUICache]
Totalcmd.exe

Также ищет файл «<папка с установленным Windows Commander>ProfilesProfftp.ini».

В нем троянец ищет следующие параметры и получает их значения:

host
username
password
directory
method В

Получает путь к WS_FTP из «%WinDir%win.ini», после чего считвает содержимое файла «wc_ftp.ini».

Интернет-браузеров:

Opera

Из файлов:

%UserProfile%Application DataOperaprofilewand.dat
%UserProfile%Application DataOperaMailaccounts.ini

Mozilla Firefox

Из файла:

%UserProfile%Application DataMozillaprofiles

Thunderbird

Из файла «%UserProfile%Application DataThunderBirdprofiles.ini» извлекает пути к профилям, по которым далее ищет файлы «signons.txt» и «prefs.js» и получает их содержимое.

FileZilla

Получая путь к папке с установленным FileZilla из нижеприведенного ключа реестра, похищает содержимое файлов «FileZilla.xml» и «sitemanager.xml»:

[HKCUSoftwareFileZilla]
Install_Dir

Троянец читает из файла «%UserProfile%Application DataQualcommEudoraEudora.ini» следующие параметры:

RealName
ReturnAddress
PopServer
LoginName
SavePasswordText

Вредоносная программа получает значения следующих параметров из файла «%WinDir%edialer.ini»:

LoginSaved
PasswordSaved

Похищает содержимое файла «%UserProfile%Application Data.gaimaccounts.xml».

Получает из реестра путь к папке с FlashFXP и похищает содержимое файла «Sites.dat».

Троянец читает содержимое файлов:

%WinDir%VD3User.dat
%WinDir%Vd3main.dat

Данные из ключа:

[HKCUSoftwareCoffeeCup SoftwareInternetProfiles]

Троянская программа читает значение параметра в ключе реестра:

[HKCUSOFTWAREMicrosoftWindowsShellNoRoam]
USDownloader.exe

И использует его для поиска нижеприведенных файлов, содержимое которых похищает:

USDownloader.lst
Depositfilesl.txt
Megauploadl.txt
Rapidsharel.txt

Троянец читает значение параметра в ключе реестра:

[HKCUSOFTWAREMicrosoftWindowsShellNoRoam]
rapget.exe

И использует его для поиска нижеприведенных файлов, содержимое которых похищает:

rapget.ini
links.dat

Троянец ищет в папке «%UserProfile%Мои документы» файлы с расширением «.rdp» и похищает их содержимое.

Также троянец ищет в параметрах ключа реестра:

[HKCUSoftwareMicrosoftWindowsShellNoRoamMUICache]

параметр с именами RQ.exe и RAT.exe. И если находит, получает его значение и использует для поиска файла «andrq.ini».

Если не находит, то получает значение ключа реестра:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallRQ]
UninstallString

И также использует его для поиска «andrq.ini».

Троянская программа получает путь к папке из следующего ключа реестра:

[HKCUSoftwareRimArtsB2Settings]

Ищет в ней файл «Mailbox.ini», в котором ищет следующие параметры и получает их значения:

UserID
MailAddress
MailServer
PassWd

Получает путь к папке с установленным Punto Switcher из приведенного ниже ключа реестра и читает содержимое файла «diary.dat»:

[HKCUSoftwarePunto Switcher]

С целью защиты от сетевых экранов и антивирусов троянец ищет окна сообщений со следующими заголовками :

Create rule for <имя троянской программы>
Kaspersky Anti-Hacker - Create a rule for <имя троянской программы>
Kaspersky Anti-Hacker - Создать правило для <имя троянской программы>
Создать правило для <имя троянской программы>
Warning: Components Have Changed
Внимание: некоторые компоненты изменились
Скрытый процесс запрашивает сетевой доступ
Hidden Process Requests Network Access

Путем нажатия на соответствующие кнопки разрешает шпиону запрашиваемое действие.

Для этого троянец ищет в системе окна с именами классов:

AVP.AlertDialog
AVP.AhAppChangedDialog
AVP.AhLearnDialog

И имитирует в них нажатия на кнопки:

«Разрешить»
Allow
Skip
«Создать правило»
Apply to all
Remember this action.

Также закрывает окна с именем класса AVP.Product_Notification.

Собранную информацию в виде отчетов вирус отправляет по HTTP с помощью ссылки:

www.****access.ru/gate/gate.php

Оттуда данные пересылаются на почтовый адрес злоумышленника:

mail@***.info

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. При помощи «Диспетчера задач» завершить троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить значение системного реестра:

[HKLMSystemCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList]
"<имя троянской программы>" = "<имя троянской программы>:*:Enabled:<имя троянца без расширения>"

4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: viruslist.com.

перейти в архив