Name:TR/PSW.LdPinch.arh
Entdeckt am:19/07/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:26.624 Bytes
MD5 Prüfsumme:793e4f6725174fe3ce8e5a684b8c0dc2
VDF Version:6.35.00.183
IVDF Version:6.35.00.223

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Alias:
   •  Kaspersky: Trojan-PSW.Win32.LdPinch.arh


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Verfügt über eigene Email Engine
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\csrss.exe

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "system"="%WINDIR%\csrss.exe"



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%WINDIR%\csrss.exe"="%WINDIR%\csrss.exe:*:Enabled:csrss"

 Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:


Von:
Der Absender der Email ist folgender:
   • bolbes@topmail.kz


An:
Der Empfänger der Email ist folgender:
   • bolbes@topmail.kz


Betreff:
Folgende:
   • Reportsss(%Name des Computers%)



Body:
–  Der Body ist leer.


Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • mass.bin
(%gestohlene Infromation%)

 Hintertür Der folgende Port wird geöffnet:

– csrss.exe am TCP Port 21 um einen FTP Server zur Verfügung zu stellen.

 Diebstahl Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter
– Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Passwörter folgender Programme:
   • Mirabilis(ICQ)
   • RIT(The Bat)
   • Trillian
   • Outlook
   • CuteFTP
   • CuteFTP Pro
   • WS_FTP
   • Miranda IM
   • Opera
   • Mozilla
   • FileZilla
   • Punto Switcher
   • Total Commander
   • Windows Commander
   • Eudora

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Adriana Popa am Freitag, 21. Juli 2006
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 21. Juli 2006

zurück . . . .