Trojan-PSW.Win32.Freecd

Класс Trojan-PSW
Платформа Win32
Описание

Technical Details

26 июня 1998 зафиксирована попытка взлома песоналных паролей Dial-Up. В
качестве инструмента взлома использовалось письмо с порнографическим
содержанием и вложенным EXE-файлом, который при запуске искал на жестком
диске имена и пароли входа в Интернет и затем отсылал их своему хозяину.
Разосланное письмо содержало заголовок «Free SexCD each guest!!!» и текст:

Free SexCD each guest!!!
Sex Viewer (Click on CD icon, and get free SexCD now!)
Free Anime Henitai Collection
lolita Sex
Russian Young women
And much more!

В письмо были также вложены порнографическая картинка и EXE-файл, который
собственно и является «троянским конем». Для получения «free CD» требуется
всего лишь запустить эту программу, которая на самом деле «развлекает»
пользователя еще четырьмя порно-картинками, а сама в то же время ищет на
диске ссылки на Dial-Up, вытаскивает из них имена и определяет пароли.
Затем результат «вскрытия» системы отсылается обратно автору троянца.
Файл-троянец FREECD.EXE написан на MS Visual Basic v 5.0 и для работы
требует MSVBVM50.DLL. Имеет достаточно сложную структуру, позволяющую
поместить в один достаточно небольшой выполняемый файл несколько различных
ресурсов: четыре JPG-картинки и три выполняемых файла, которые в свою
очередь объединены в самораспаковывающийся архив, который запускается из
вложенного в основной EXE-файл документа Word:

FreeCD.exe
+------OleDocument
|   +---ArchiveZip.exe
|       |--senm.exe
|       |--S.EXE
|       |--S.pif
|       +--pwv.exe
|---Picture1.jpg
|---Picture2.jpg
|---Picture3.jpg
+---Picture4.jpg

Основная программа должна распаковать архив и запустить одну из программ в
архиве (PWV.EXE), которая выясняет пароли на Dial-Up, а другие (S.EXE и
SENM.EXE) отправлюет их автору (создает файл MES и посылает его на
ispp@usa.net). Во время выяснения и отсылания паролей основная программа
должна отвлечь пользователя показом картинок и перечислением «интересных» URL:

http://postman.ru/~babaka/links.htm
http://nagual.ml.org:8080/~ache/anime/
http://www.holynature.ru/HN_Gallery/index.html
http://www.lolitasex.com/

Наличие Российских сайтов недвусмысленно говорит о происхождении троянца.
Заголовок основного письма «отпатчен» и письмо в результате выглядит
присланным с адреса gree382@ibm.net, но реально адрес «хозяина» другой.