Имя:TR/PSW.LdPinch.arh
Обнаружен:19/07/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:26.624 байт.
Контрольная сумма MD5:793e4f6725174fe3ce8e5a684b8c0dc2
Версия VDF:6.35.00.183
Версия IVDF:6.35.00.223

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдоним (alias):
   •  Kaspersky: Trojan-PSW.Win32.LdPinch.arh


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Использует собственный почтовый движок
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %WINDIR%\csrss.exe

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "system"="%WINDIR%\csrss.exe"



Создание следующего элемента для "обхода" брандмауера Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%WINDIR%\csrss.exe"="%WINDIR%\csrss.exe:*:Enabled:csrss"

 Email Не имеет собственной процедуры размножения. Занимается рассылкой электронных писем. Адресат может оказаться отправителем. Подробности приведены ниже:


От:
Отправитель письма:
   • bolbes@topmail.kz


Кому:
Получателем письма является:
   • bolbes@topmail.kz


Тема:
Следующее:
   • Reportsss(%Имя компьютера%)



Тело:
–  Пустой текст письма.


Прикрепленный файл:
Следующее имя прикрепленного файла:
   • mass.bin
(%похищенная информация%)

 Backdoor Открывается порт:

– csrss.exe по TCP порту 21 для обеспечения FTP сервера.

 Кража Попытка кражи следующей информации:
– Введенные в поле пароля символы
– Информация об учетной записи электронной почты из реестра: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Пароли следующих программ:
   • Mirabilis(ICQ)
   • RIT(The Bat)
   • Trillian
   • Outlook
   • CuteFTP
   • CuteFTP Pro
   • WS_FTP
   • Miranda IM
   • Opera
   • Mozilla
   • FileZilla
   • Punto Switcher
   • Total Commander
   • Windows Commander
   • Eudora

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Adriana Popa в(о) пятница, 21 июля 2006 г.
Описание обновил Andrei Gherman в(о) пятница, 21 июля 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.