Nume:TR/PSW.LdPinch.arh
Descoperit pe data de:19/07/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:26.624 Bytes
MD5:793e4f6725174fe3ce8e5a684b8c0dc2
Versiune VDF:6.35.00.183
Versiune IVDF:6.35.00.223

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-PSW.Win32.LdPinch.arh


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Utilizeaza propriul motor de email
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\csrss.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "system"="%WINDIR%\csrss.exe"



Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%WINDIR%\csrss.exe"="%WINDIR%\csrss.exe:*:Enabled:csrss"

 Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:


De la:
Expeditorul email-ului este urmatorul:
   • bolbes@topmail.kz


Catre:
Destinatarul mesajului este:
   • bolbes@topmail.kz


Subiect:
Urmatorul:
   • Reportsss(%numele computerului%)



Corpul email-ului:
–  Corpul email-ului este gol.


Atasament:
Numele fisierului atasat este urmatorul:
   • mass.bin
(%informatiile sustrase%)

 Backdoor Deschide portul

– csrss.exe pe portul TCP 21 pentru a functiona ca server FTP.

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare
– Informatii despre contul de email, obtinute din cheia de registru: HKCU\SoftwareMicrosoft\Internet Account Manager\Accounts

– Parolele din urmatoarele programe:
   • Mirabilis(ICQ)
   • RIT(The Bat)
   • Trillian
   • Outlook
   • CuteFTP
   • CuteFTP Pro
   • WS_FTP
   • Miranda IM
   • Opera
   • Mozilla
   • FileZilla
   • Punto Switcher
   • Total Commander
   • Windows Commander
   • Eudora

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Description insérée par Adriana Popa le vendredi 21 juillet 2006
Description mise à jour par Andrei Gherman le vendredi 21 juillet 2006

Retour . . . .