Trojan-PSW.Win32.GOPtrojan

Класс Trojan-PSW
Платформа Win32
Описание

Technical Details

Эта программа относится к семейству «троянских коней», ворующих системные пароли (см.описание семейства). Скорее всего, троянец создан в Китае.

Данный троянец ворует пароли OICQ (китайский аналог ICQ?).

При запуске троянец инсталлирует себя в систему: копирует в главный каталог Windows, системный каталог Windows или временную папку и регистрирует в системном реестре в секции авто-запуска. Например:


Имя файла-троянца: WINDOWSSYSTEMwinzipauto.exe
Ключ реестра:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
WindowsAgent = winzipauto.exe

Для получения паролей OICQ троян использует дополнительную библиотеку (DLL).

Имя библиотеки, файла-троянца, каталог установки и ключ реестра являются опциональными и могут быть изменены злоумышленником перед рассылкой троянского файла. Все эти значения хранятся в конце троянского файла в зашифрованном виде.

Также, троянец может опционально выполнять следующие действия:

  • показывать сообщение с заданным текстом
  • удалять свою оригинальную копию после установки в системе
  • отсылать сообщения по заданному e-mail адресу (по умолчанию —
    goicq@sina.com), через заданный SMTP сервер (по умолчанию —
    smtp.sina.com.cn)

Троянец затем регистрирует себя как скрытое приложение (сервис) и невидим в списке задач. Троянец также создает дополнительный DLL-файл, основной задачей которого является слежение за текстом, который пользователь набирает на клавиатуре. Троянец периодически отсылает собранную информацию на электронный адрес злоумышленника (этот адрес также опционален).

Известны «усовершенствованные» версии троянца, которые рассылают свои копии по электронной почте, и поэтому являются червями. См. {«GOPworm»:IWorm_GOPworm}.