Classe principal: TrojWare
Os cavalos de Tróia são programas mal-intencionados que executam ações que não são autorizadas pelo usuário: eles excluem, bloqueiam, modificam ou copiam dados e interrompem o desempenho de computadores ou redes de computadores. Ao contrário dos vírus e worms, as ameaças que se enquadram nessa categoria não conseguem fazer cópias de si mesmas ou se auto-replicar. Os cavalos de Tróia são classificados de acordo com o tipo de ação que executam em um computador infectado.Classe: Trojan-PSW
Os programas do Trojan-PSW são projetados para roubar informações de contas de usuários, como logins e senhas, de computadores infectados. PSW é um acrônimo de Password Stealing Ware. Quando lançado, um cavalo de Tróia PSW pesquisa arquivos de sistema que armazenam uma variedade de dados confidenciais ou o registro. Se esses dados forem encontrados, o cavalo de Tróia os enviará ao seu “mestre”. E-mails, FTP, a Web (incluindo dados em uma solicitação) ou outros métodos podem ser usados para transitar os dados roubados. Alguns desses Trojans também roubam informações de registro de determinados programas de software.Plataforma: Win32
O Win32 é uma API em sistemas operacionais baseados no Windows NT (Windows XP, Windows 7, etc.) que oferece suporte à execução de aplicativos de 32 bits. Uma das plataformas de programação mais difundidas do mundo.Descrição
Detalhes técnicos
Este programa pertence à família de senhas que roubam trojans. Foi espalhado a partir de uma página de acesso público no servidor narod.ru no início de junho de 2002.
A página da web continha o seguinte:
Exames Intermediários Papéis de teste para matemática e tópicos para composições. Ainda livre!
O arquivo que reside na página da Web é um instalador do Trojan. Quando executado, ele descarta um programa de Trojan para o diretório do Windows e, em seguida, extrai e cria tópicos falsos de exame (em russo).
O Trojan em si é um arquivo EXE do Windows PE com cerca de 27Kb de comprimento (compactado por UPX, o tamanho descompactado é de cerca de 83Kb) e escrito em Delphi.
Quando executado, o Trojan se copia para o diretório Windows sob o nome SYSTEM.EX e registra esse arquivo na chave de execução automática do registro do sistema:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun Sistema =% WindowsDir% System.exe
A principal função do CrazyBilets Trojan é coletar as senhas do Windows em cache nas máquinas vítimas e enviar essas informações para o "master" por conexão direta com um servidor SMTP.
Saiba mais
Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com