Classe principal: TrojWare
Os cavalos de Tróia são programas mal-intencionados que executam ações que não são autorizadas pelo usuário: eles excluem, bloqueiam, modificam ou copiam dados e interrompem o desempenho de computadores ou redes de computadores. Ao contrário dos vírus e worms, as ameaças que se enquadram nessa categoria não conseguem fazer cópias de si mesmas ou se auto-replicar. Os cavalos de Tróia são classificados de acordo com o tipo de ação que executam em um computador infectado.Classe: Trojan-PSW
Os programas do Trojan-PSW são projetados para roubar informações de contas de usuários, como logins e senhas, de computadores infectados. PSW é um acrônimo de Password Stealing Ware. Quando lançado, um cavalo de Tróia PSW pesquisa arquivos de sistema que armazenam uma variedade de dados confidenciais ou o registro. Se esses dados forem encontrados, o cavalo de Tróia os enviará ao seu “mestre”. E-mails, FTP, a Web (incluindo dados em uma solicitação) ou outros métodos podem ser usados para transitar os dados roubados. Alguns desses Trojans também roubam informações de registro de determinados programas de software.Plataforma: Win32
O Win32 é uma API em sistemas operacionais baseados no Windows NT (Windows XP, Windows 7, etc.) que oferece suporte à execução de aplicativos de 32 bits. Uma das plataformas de programação mais difundidas do mundo.Descrição
Detalhes técnicos
Trata-se de uma senha e do programa Trojan de roubo de informações WebMoney, com a capacidade de fazer o download de seus "upgrades" de sites da Internet e substituir-se por suas novas versões. O Trojan foi implementado em pacotes de jogos freeware e foi distribuído dessa maneira em maio de 2001.
Como o Trojan pode "atualizar" a partir de sites da Internet, as informações abaixo podem não estar completamente corretas para versões de cavalos de Tróia ainda desconhecidas.
Instalação
Quando o Trojan é executado, ele se copia para o diretório do sistema Windows com o nome TASKSVR32.EXE e se registra na chave de execução automática do registro:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun Microsoft Task Manager = tasksvr32.exe
Se ocorrer um erro durante a criação dessa chave (o usuário atual não tem acesso às chaves HKLM), o Trojan se registra na chave HKCU:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun Microsoft Task Manager = tasksvr32.exe
O Trojan, em seguida, cria o arquivo COOLX.DLL-helper DLL no diretório do sistema Windows. O arquivo Trojan original (a partir do qual o Trojan foi iniciado) é então excluído.
O Trojan também cria mais chaves de registro e grava ali valores hexadecimais:
HKCUSoftwareMicrosoftDirectX
DRMInstallFocus =% hex valie%; estas quatro chaves são
DRMInstallPlace =% hex valie%; hora do sistema quando trojan
DRMUpdateFocus =% hex valie%; instala-se
DRMUpdatePlace =% hex valie%; para o sistema
DRMVersão =% hex valie%; versão trojan
O cavalo de Tróia permanece na memória do Windows como um processo de serviço oculto e fica ativo até que o Windows seja reiniciado.
Informação Roubada
O Trojan envia ao seu autor as seguintes informações de um computador infectado:
Nome do computador
Nome de usuário
Cadeias RegisteredOwner e RegisteredOrganization
Informações de hardware instaladas
Recursos de rede com o modo de acesso
endereço de IP
Informações de RAS, senhas armazenadas em cache
outros logins e senhas de acesso à Internet
Informações do usuário do ICQ
WebMoney informações e arquivos de dados
Atualizando
Dependendo de várias condições, o Trojan obtém arquivos de sites da Internet, faz o download deles para o diretório temporário do Windows com o nome RTTY32.EXE e o gera. Esses arquivos são as próximas versões do cavalo de Tróia e podem ter uma funcionalidade aprimorada.
Versões conhecidas de cavalos de Tróia baixam arquivos das seguintes páginas:
sfavp.chat.ru/update
widpage.chat.ru/update
De outros
Algumas versões conhecidas também:
http://vrs.ru
http://ebooks.vov.ru
http://3w.ozonebooks.com
Saiba mais
Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com