Родительский класс: TrojWare
Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.Класс: Trojan-PSW
Предназначены для кражи пользовательских аккаунтов (логин и пароль) с пораженных компьютеров. PSW – аббревиатура от Password Stealing Ware («ПО для кражи паролей»). При запуске PSW-троянцы ищут необходимую информацию в системных файлах, хранящих различную конфиденциальную информацию, или реестре. В случае успешного поиска программа отсылает найденные данные «хозяину». Для передачи данных могут быть использованы электронная почта, ftp, web (посредством указания данных в запросе) и другие способы. Некоторые троянцы данного типа воруют регистрационную информацию к различному программному обеспечению. Программы, занимающиеся кражей учетных записей пользователей систем интернет-банкинга, интернет-пейджинга и онлайн-игр, в силу их многочисленности, выделены в отдельные классы: Trojan Banker, Trojan IM и Trojan GameThief соответственно.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
26 июня 1998 зафиксирована попытка взлома песоналных паролей Dial-Up. В качестве инструмента взлома использовалось письмо с порнографическим содержанием и вложенным EXE-файлом, который при запуске искал на жестком диске имена и пароли входа в Интернет и затем отсылал их своему хозяину. Разосланное письмо содержало заголовок "Free SexCD each guest!!!" и текст:
Free SexCD each guest!!! Sex Viewer (Click on CD icon, and get free SexCD now!) Free Anime Henitai Collection lolita Sex Russian Young women And much more!
В письмо были также вложены порнографическая картинка и EXE-файл, который собственно и является "троянским конем". Для получения "free CD" требуется всего лишь запустить эту программу, которая на самом деле "развлекает" пользователя еще четырьмя порно-картинками, а сама в то же время ищет на диске ссылки на Dial-Up, вытаскивает из них имена и определяет пароли. Затем результат "вскрытия" системы отсылается обратно автору троянца. Файл-троянец FREECD.EXE написан на MS Visual Basic v 5.0 и для работы требует MSVBVM50.DLL. Имеет достаточно сложную структуру, позволяющую поместить в один достаточно небольшой выполняемый файл несколько различных ресурсов: четыре JPG-картинки и три выполняемых файла, которые в свою очередь объединены в самораспаковывающийся архив, который запускается из вложенного в основной EXE-файл документа Word:
FreeCD.exe +------OleDocument | +---ArchiveZip.exe | |--senm.exe | |--S.EXE | |--S.pif | +--pwv.exe |---Picture1.jpg |---Picture2.jpg |---Picture3.jpg +---Picture4.jpg
Основная программа должна распаковать архив и запустить одну из программ в архиве (PWV.EXE), которая выясняет пароли на Dial-Up, а другие (S.EXE и SENM.EXE) отправлюет их автору (создает файл MES и посылает его на ispp@usa.net). Во время выяснения и отсылания паролей основная программа должна отвлечь пользователя показом картинок и перечислением "интересных" URL:
http://postman.ru/~babaka/links.htm http://nagual.ml.org:8080/~ache/anime/ http://www.holynature.ru/HN_Gallery/index.html http://www.lolitasex.com/
Наличие Российских сайтов недвусмысленно говорит о происхождении троянца. Заголовок основного письма "отпатчен" и письмо в результате выглядит присланным с адреса gree382@ibm.net, но реально адрес "хозяина" другой.
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com