Родительский класс: TrojWare
Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.Класс: Trojan-PSW
Предназначены для кражи пользовательских аккаунтов (логин и пароль) с пораженных компьютеров. PSW – аббревиатура от Password Stealing Ware («ПО для кражи паролей»). При запуске PSW-троянцы ищут необходимую информацию в системных файлах, хранящих различную конфиденциальную информацию, или реестре. В случае успешного поиска программа отсылает найденные данные «хозяину». Для передачи данных могут быть использованы электронная почта, ftp, web (посредством указания данных в запросе) и другие способы. Некоторые троянцы данного типа воруют регистрационную информацию к различному программному обеспечению. Программы, занимающиеся кражей учетных записей пользователей систем интернет-банкинга, интернет-пейджинга и онлайн-игр, в силу их многочисленности, выделены в отдельные классы: Trojan Banker, Trojan IM и Trojan GameThief соответственно.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
Эта программа относится к семейству "троянских коней", ворующих системные пароли. Была доступна на Web-странице на сервере narod.ru в начале Июня 2002 под заголовком:
ВЫПУСКНЫЕ ЭКЗАМЕНЫ 2002!
ТЕМЫ К СОЧИНЕНИЯМ И БИЛЕТЫ ПО МАТЕМАТИКЕ. ПОКА БЕСПЛАТНО!
Файл, расположенный на данной странице является "инсталлятором" троянца, который при запуска инсталлирует троянскую программу в каталог Windows, а затем создает на диске документ Word, содержащий экзаменационные вопросы, например: "Центральный Федеральный округ.doc"
Троянец является приложением Windows (PE EXE-файл), имеет размер около 27K (упакован UPX, размер распакованного файла - около 83K), написан на Delphi.
При старте троянец копирует себя с именем SYSTEM.EXE в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
System = %WindowsDir%System.exe
Основная функция троянца - сбор паролей и пересылка их e-mail'ом злоумышленнику. Троянец собирает только кешированные пароли Windows. При отсылке троянец использует прямое соединение с SMTP-сервером.
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com