Nom:TR/PSW.LdPinch.arh
La date de la découverte:19/07/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:26.624 Octets
Somme de contrôle MD5:793e4f6725174fe3ce8e5a684b8c0dc2
Version VDF:6.35.00.183
Version IVDF:6.35.00.223

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


L'alias:
   •  Kaspersky: Trojan-PSW.Win32.LdPinch.arh


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\csrss.exe

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "system"="%WINDIR%\csrss.exe"



Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%WINDIR%\csrss.exe"="%WINDIR%\csrss.exe:*:Enabled:csrss"

 Email Il n'a pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:


De:
L'expéditeur de cet e-mail est ce qui suit:
   • bolbes@topmail.kz


A:
Le destinataire de l'email est le suivant:
   • bolbes@topmail.kz


Sujet:
Le suivant:
   • Reportsss(%le nom de l'ordinateur%)



Corps:
–  Le corps est vide.


Pièce jointe:
Le nom de fichier de l'attachement est:
   • mass.bin
(%l'information volée%)

 Porte dérobée Le port suivant est ouvert:

– csrss.exe sur le port TCP 21 afin de fournir un serveur FTP

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'
– Des informations sur le compte d'email, obtenues de la clé de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Les mots de passe des programmes suivants:
   • Mirabilis(ICQ)
   • RIT(The Bat)
   • Trillian
   • Outlook
   • CuteFTP
   • CuteFTP Pro
   • WS_FTP
   • Miranda IM
   • Opera
   • Mozilla
   • FileZilla
   • Punto Switcher
   • Total Commander
   • Windows Commander
   • Eudora

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Adriana Popa le vendredi 21 juillet 2006
Description mise à jour par Andrei Gherman le vendredi 21 juillet 2006

Retour . . . .