VirusHunter предупреждает всех пользователей ПК об обнаружении в сети Интернет опасной троянской программы Trojan-Spy.Mlogr.9584 (aka Trojan.PWS.LdPinch), похищающей конфиденциальные данные пользователей зараженных компьютеров. Распространяется неизвестными злоумышленниками на программных Интернет-сайтах под видом "полезных" программ...


1. Источники распространения троянца.

11 мая 2005 года я зафиксировал ссылки на "полезные" программы, в реальности представляющие собой копии троянца Trojan-Spy.Mlogr.9584, в поисковых системах "Google" и "Rambler". Так, например, на одной из страниц (из соображений безопасности адрес не приводится) копии троянца предлагались для скачивания под видом "крэков" и "кейгенов" для лицензионных версий популярных антивирусов и фаерволлов:


По указанным на данной странице ссылкам скачиваются следующие файлы (часть фрагмента адресов из соображений безопасности я заменил символами "x"):

1.  http://xxxxxxx.xost.ru/key/drweb.exe
2.  http://xxxxxxx.xost.ru/key/kgkav.exe
3.  http://xxxxxxx.xost.ru/key/antihack.exe
4.  http://xxxxxxx.xost.ru/key/keys.exe
5.  http://xxxxxxx.xost.ru/key/nav.exe


1,2,3-й и 5-й файлы представляют собой копии троянца Trojan-Spy.Mlogr.9584, а 4-й - самораспаковывающийся архив (Self Extractor), который также содержит один-единственный файл с копией троянца.


2. Самораспаковывающийся архив с троянцем.

Файл keys.exe (имя файла запросто может быть изменено злоумышленниками) является стандартным архивом-инсталлятором и имеет размер 118784 байта. Сам по себе вирусом или троянской программой не является, если к тому же учесть, что содержащийся в нем файл троянца может быть запущен только по желанию пользователя.
При запуске файла keys.exe появляются 2 характерных для самораспаковывающихся архивов окна c меню:



Во 2-м окне пользователю предлагается указать каталог распаковки содержимого архива. Опция "Browse" позволяет пользователю самостоятельно выбрать каталог распаковки. При выборе опции "Cancel" выдается стандартная иконка вида


, после чего, при нажатии на ней опции "OK" программа распаковщика завершает свою работу и заражения не происходит. Если же пользователь выбирает опцию "OK" во 2-м окне (имеется ввиду вышеуказанное программное окно с заголовком "Extract Files"), то программа проверяет существует ли указанный по умолчанию или выбранный пользователем каталог и, если каталог еще не существует, то выдает окно (например, при выборе каталога, указанного по умолчанию) вида


Если пользователь выбирает ответ "Нет", то программа возвращается к меню во 2-м окне, а если выбран ответ "Да", то производится распаковка и запуск файла троянца. Это происходит следующим образом: еще при запуске файла keys.exe в каталог Временных файлов системы извлекается CAB-архив:

для Windows 9X/ME:

C:\WINDOWS\TEMP\~cm12.cab

для Windows 2K/XP:

C:\Documents and Settings\%user%\Local Settings\Temp\~cm12.cab

, где %user% - имя пользовательского каталога текущего юзера. Этот архив имеет размер 10812 байт и содержит файл троянца и в том случае, если после всех вышеописанных процедур пользователь выбрал в меню программы распаковку архива, то файл троянца извлекается из него и запускается на выполнение. Если же пользователь отказался от распаковки архива, то программа распаковщика перед своим закрытием удаляет архив ~cm12.cab.


3. Инсталляция в систему.

Файл троянца, извлеченный из архива ~cm12.cab, называется patch.exe. Он аналогичен и всем вышеперечисленным файлам (drweb.exe, B>kgkav.exe и т.д.).
Программа троянца является Windows-приложением (PE EXE-файлом) размером 9584 байта. Работоспособна под всеми существующими на сегодняшний день версиями Windows. Файл троянца зашифрован, а поверх сжат утилитой компрессии "FSG" версии 1.33 (в декомпрессированном виде размер троянского файла, в приближении к оригинальному, составляет 172032 байта).
При запуске троянец определяет каталог, в который установлена ОС Windows (обычно C:\WINDOWS), после чего копирует себя в него:

C:\WINDOWS\patch.exe (или, соответственно, "drweb.exe", или "kgkav.exe" и т.д.)

После этого запускает скопированный файл на выполнение, а исходный файл завершает свою работу и удаляется при помощи заранее созданного и запущенного на выполнение BAT-файла (скрипта, написанного на командном языке DOS - Batch Script'е), который располагается в том же каталоге, что и исходный файл троянца. Этот BAT-файл (размер 38 байт) в бесконечном цикле пытается удалить исходный файл троянца, что и происходит сразу же после завершения работы последнего. После этого BAT-файл удаляет и себя.
Далее установленная в системный каталог копия троянца создает в реестре Windows следующие 2 ключа:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
 "Svchost"="C:\\WINDOWS\\%name%.exe"

[HKEY_LOCAL_MACHINE\Software\Miranda]


1-й ключ используется для автозапуска троянца при каждом старте системы (%name% - соответствующее имя файла троянца), а 2-й - для записи и хранения служебной и похищенной информации.
Троянец не проверяет наличие своей копии в памяти компьютера, поэтому в том случае, если пользователь запустил несколько файлов с троянской программой, то все они будут загружены на выполнение и останутся активными вплоть до завершения работы Windows. При этом каждый запущенный троянский файл будет копировать себя в системный каталог и проверять наличие в регистрах системы двух вышеуказанных ключей. В том случае, если ключи уже существуют, то новых записей в реестре не создается, а каждая последующая запущенная копия троянца изменяет значение %name% в 1-м ключе на свое имя. В результате этого, после первой перезагрузки системы из всех файлов троянца, находящихся в системном каталоге, на выполнение запустится только тот, который был установлен в систему последним.
Для обработки данных троянец использует интерпретаторы команд DOS - command.com (в Windows 9X/ME) и cmd.exe (в Windows 2K/XP).


4. Похищение конфиденциальных данных.

В коде троянца содержится зашифрованный функционал, при помощи которого осуществляется поиск и сбор паролей/настроек различных установленных в системе программ.
Сначала троянец пытается открыть 25-й порт (SMTP - отправка сообщений) по протоколу TCP/IP и установить соединение с сервером, IP-адрес которого 194.67.23.111. С этой целью троянец пытается подключиться к Интернету, для чего запускает различные приложения, используемые при входе в сеть - например, под Windows 9X/ME запускает такие службы, как, например, RNAAPP.EXE, PSTORES.EXE.
Если соединение с вышеуказанным сервером удалось установить, то троянец расшифровывает (использует алгоритм декриптации путем чтения своего кода по смещению на величину XOR 1Dh) и запускает процедуру парольного шпионажа. В ходе процедуры троянец сканирует диск машины в поисках определенных файлов от нижеприведенных программ, а также просматривает соответствующие ключи реестра на наличие значений, содержащих следующие конфиденциальные данные:

 - логины, пароли и номера Интернет-пейджеров ICQ, Miranda и &RQ;

 - логины и пароли почтовой программы The Bat!;

 - адресные ссылки, хранимые в URL-кэше вэб-броузера Internet Explorer, а также логины и пароли для входа броузера в сеть Интернет;  - логины, пароли и адреса почтовых ящиков хозяев зараженного компьютера, а также значения POP3- и SMTP-серверов, используемые в установленной под Windows почтовой программой "по умолчанию", в частности - MS Outlook и MS Outlook Express;

 - настройки и номер программы Trillian;

 - ряд технических и пользовательских настроек программ-менеджеров файлов Far Manager и Total Commander;

 - информацию о типе подключения к сети Интернет - если используется DialUp (подключение через телефонную линию), то кроме логинов и паролей извлекаются и номера телефонов автодозвона до провайдера Интернет-услуг.

Чтобы определить местоположения данных программ, троянец сканирует значения ветки реестра

SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\

, содержащие в своих именах фрагмент

UninstallString

При извлечении вышеуказанных данных из защищенных крипт-алгоритмами файлов и ключей реестра соответствующих программ, троянец использует расшифровочные алгоритмы, аналогичные тем, которые применяются в этих программах для защиты логинов и паролей от визуального просмотра посторонними лицами. Всю выуженную информацию троянец хранит в виде зашифрованных значений в своем ключе

[HKEY_LOCAL_MACHINE\Software\Miranda]

После сбора всех выуженных данных троянец копирует их из своего ключа в создаваемый временный файл E761B4C8, который затем также шифрует и прикрепляет в виде вложения к сгенерированному письму. Оно имеет следующие параметры:

В поле "От": zamok_if@mail.ru

Адрес отправителя: zamok_if@mail.ru

В поле "Кому": zamok_if@mail.ru

Тема послания: Passwords from ld-pinch (%s)

, где %s - какое-то слово или набор символов. В тексте письма троянец также записывает какие-то выуженные данные, найденные в ветке ключей реестра

SOFTWARE\Intel

При отправке письма троянец использует ресурс 194.67.23.111 в роли SMTP-сервера-отправителя почтовых посланий.
Также троянец записывает в свой 2-й ключ (Miranda) какую-то служебную информацию, чтобы не производить повторных попыток отсылки одних и тех же выуженных данных.


5. Прочее.

В коде самораспаковывающегося архива keys.exe и CAB-архива ~cm12.cab присутствуют такие авторские строки-"копирайты":

MLOGR
AleXXX aka MORRO


При первичной разработке данного описания я допустил ошибку, сообщив пользователям о якобы содержащемся в коде троянца функционале кейлоггера (keylogger - клавиатурный шпион, осуществляющий слежение за нажатиями клавиш). Пересмотрев еще раз код "зловреда", я убрал данную информацию из описания, поскольку такой процедуры троянец не содержит.


6. Детектирование и удаление троянца из системы.

На момент создания данного описания антивирусные программы уже обнаруживали троянскую программу Trojan-Spy.Mlogr.9584 под следующими номенклатурными названиями:

Антивирус Kaspersky AntiVirus: Trojan-PSW.Win32.LdPinch.gen

Антивирус BitDefender Professional: DeepScan:Generic.PWStealer.D546C05F (декомпрессированный от FSG-сжатия файл не обнаруживает)

Антивирус DrWeb: Trojan.PWS.LDPinch.234

Все файлы, которые распознаются антивирусами под вышеуказанными номенклатурными названиями, необходимо просто удалить. После этого рекомендую сменить пароли на подключение к сети Интернет, к почтовым ящикам и т.п.


Разработчик описания: Бройде Герман (aka VirusHunter)
Дата создания: 12.05.2005
Дата внесения последних изменений: 29.10.2006
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.0031750202179