Kaspersky Threats — CrazyBilets

Класс

Платформа

Описание

Technical Details

Эта программа относится к семейству “троянских коней”, ворующих системные пароли. Была доступна на Web-странице на сервере
narod.ru в начале Июня 2002 под заголовком:

ВЫПУСКНЫЕ ЭКЗАМЕНЫ 2002!
ТЕМЫ К СОЧИНЕНИЯМ И БИЛЕТЫ ПО МАТЕМАТИКЕ. ПОКА БЕСПЛАТНО!

Файл, расположенный на данной странице является “инсталлятором” троянца, который при запуска инсталлирует троянскую программу в каталог Windows, а затем создает на диске документ Word, содержащий экзаменационные вопросы, например: “Центральный Федеральный округ.doc”

Троянец является приложением Windows (PE EXE-файл), имеет размер около 27K (упакован UPX, размер распакованного файла – около 83K), написан на Delphi.

При старте троянец копирует себя с именем SYSTEM.EXE в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
System = %WindowsDir%System.exe

Основная функция троянца – сбор паролей и пересылка их e-mail’ом
злоумышленнику. Троянец собирает только кешированные пароли Windows. При отсылке троянец использует прямое соединение с SMTP-сервером.

Узнай статистику распространения угроз в твоем регионе

Класс	Trojan-PSW
Платформа	Win32
Описание	Technical Details Эта программа относится к семейству “троянских коней”, ворующих системные пароли. Была доступна на Web-странице на сервере narod.ru в начале Июня 2002 под заголовком: ВЫПУСКНЫЕ ЭКЗАМЕНЫ 2002! ТЕМЫ К СОЧИНЕНИЯМ И БИЛЕТЫ ПО МАТЕМАТИКЕ. ПОКА БЕСПЛАТНО! Файл, расположенный на данной странице является “инсталлятором” троянца, который при запуска инсталлирует троянскую программу в каталог Windows, а затем создает на диске документ Word, содержащий экзаменационные вопросы, например: “Центральный Федеральный округ.doc” Троянец является приложением Windows (PE EXE-файл), имеет размер около 27K (упакован UPX, размер распакованного файла – около 83K), написан на Delphi. При старте троянец копирует себя с именем SYSTEM.EXE в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра: HKLMSoftwareMicrosoftWindowsCurrentVersionRun System = %WindowsDir%System.exe Основная функция троянца – сбор паролей и пересылка их e-mail’ом злоумышленнику. Троянец собирает только кешированные пароли Windows. При отсылке троянец использует прямое соединение с SMTP-сервером.
	Узнай статистику распространения угроз в твоем регионе

Trojan-PSW.Win32.CrazyBilets

Technical Details