Родительский класс: TrojWare
Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.Класс: Trojan-PSW
Предназначены для кражи пользовательских аккаунтов (логин и пароль) с пораженных компьютеров. PSW – аббревиатура от Password Stealing Ware («ПО для кражи паролей»). При запуске PSW-троянцы ищут необходимую информацию в системных файлах, хранящих различную конфиденциальную информацию, или реестре. В случае успешного поиска программа отсылает найденные данные «хозяину». Для передачи данных могут быть использованы электронная почта, ftp, web (посредством указания данных в запросе) и другие способы. Некоторые троянцы данного типа воруют регистрационную информацию к различному программному обеспечению. Программы, занимающиеся кражей учетных записей пользователей систем интернет-банкинга, интернет-пейджинга и онлайн-игр, в силу их многочисленности, выделены в отдельные классы: Trojan Banker, Trojan IM и Trojan GameThief соответственно.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
Эта программа относится к семейству "троянских коней", ворующих системные пароли (см.описание семейства). Скорее всего, троянец создан в Китае.
Данный троянец ворует пароли OICQ (китайский аналог ICQ?).
При запуске троянец инсталлирует себя в систему: копирует в главный каталог Windows, системный каталог Windows или временную папку и регистрирует в системном реестре в секции авто-запуска. Например:
Имя файла-троянца: WINDOWSSYSTEMwinzipauto.exe
Ключ реестра:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
WindowsAgent = winzipauto.exe
Для получения паролей OICQ троян использует дополнительную библиотеку (DLL).
Имя библиотеки, файла-троянца, каталог установки и ключ реестра являются опциональными и могут быть изменены злоумышленником перед рассылкой троянского файла. Все эти значения хранятся в конце троянского файла в зашифрованном виде.
Также, троянец может опционально выполнять следующие действия:
- показывать сообщение с заданным текстом
- удалять свою оригинальную копию после установки в системе
- отсылать сообщения по заданному e-mail адресу (по умолчанию - goicq@sina.com), через заданный SMTP сервер (по умолчанию - smtp.sina.com.cn)
Троянец затем регистрирует себя как скрытое приложение (сервис) и невидим в списке задач. Троянец также создает дополнительный DLL-файл, основной задачей которого является слежение за текстом, который пользователь набирает на клавиатуре. Троянец периодически отсылает собранную информацию на электронный адрес злоумышленника (этот адрес также опционален).
Известны "усовершенствованные" версии троянца, которые рассылают свои копии по электронной почте, и поэтому являются червями. См. {"GOPworm":IWorm_GOPworm}.
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com