VirusHunter предупреждает всех пользователей ПК о распространении опасной троянской программы Trojan-PSW.InvisibleThief.23019, принадлежащей к семейству троянцев "PdPinch" и осуществляющей кражу конфиденциальной информации с пораженных машин, а также загрузку через сеть Интернет др. вредоносных программ...


1. Предварительная информация.

Троянская программа распространяется неизвестным злоумышленником в сети Интернет под видом "утилиты" для (де-)криптования файлов. Троянец был обнаружен "в недетектируемом виде" и передан мне для изучения нашим вэб-дизайнером.
По некоторым предположениям троянец был создан в России или на Украине примерно во второй половине июня 2005 года. Включает в себя 2 файла:

l2decrypt.exe - троянская программа, написанная на языке Microsoft Visual C+. Имеет размер 63488 байт (ничем не сжата). Непосредственно код троянца в данном файле составляет 23019 байт, а остальные 40469 байт имеет встроенная в тело троянца безобидная (де-)крипт-утилита (далее по тексту - просто "утилита") для расшифровки конфигурационного файла от сетевой игры "LineAgeII";

temp.exe - сама утилита размером 40469 байт (файл ничем не сжат). Имеет графический интерфейс, поддерживаемый в окне эмуляции MS-DOS и содержащий командную строку.

Утилита была встроена в код троянца с целью скрытной расшифровки конфигурационного файла игры "LineAgeII" с последующим выуживанием из него некоторой конфиденциальной информации о текущем игроке.


2. Инсталляция троянца в систему.

При запуске пользователем файла l2decrypt.exe троянец извлекает из своего тела утилиту и копирует ее под названием temp.exe в корневой каталог системы:

C:\WINDOWS\temp.exe

После этого запускает ее на выполнение.
Интерфейс утилиты содержит координаты ее автора, а также инструкцию по опциональному функционалу при работе с файлами и командную строку. Рабочее окно утилиты выглядит следующим образом:


При закрытии данного окна утилита (программа temp.exe) завершает свою работу. Что же касается троянского файла l2decrypt.exe, то он продолжает скрытно работать и остается в памяти системы вплоть до завершения ее работы (примечание: количество копий троянца в оперативной памяти зависит от того, сколько раз пользователь запустил файл l2decrypt.exe).
Троянец создает в системе собственный раздел ключей реестра со следующей записью:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"%windir%\\temp.exe"="temp"


, где %windir% - название каталога с установленной ОС Windows. Смысл этого ключа непонятен, т.к. он не является ключом автозапуска компонента temp.exe (использует его для служебных целей?). Кроме того, под Windows 9X/ME троянец вообще не создает данный ключ.
Также троянец создает еще один ключ реестра:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%path%\\l2decrypt.exe"="%path%\\l2decrypt.exe:*:Enabled:l2decrypt"


, где %path% - путь к местоположению запущенного пользователем файла l2decrypt.exe. Данный ключ создается лишь под системами Windows 2K/XP и то только в том случае, если на них установлены системные обновления (SP4 и SP2 соответственно), и дает троянцу возможность работать как внутренний системный сервис с определенными привилегиями, а также скрывать некоторые из своих процедур от определенных системных вызовов. При этом, независимо от версии ОС Windows, троянец может активизироваться после перезапуска компьютера только в том случае, если пользователь собственноручно запустит файл l2decrypt.exe.


3. Похищение конфиденциальных данных.

Сразу после своего запуска троянец пытается соединиться со следующей Интернет-страницей (часть адреса заменена символами "%" по соображениям безопасности):

http://www.%-%.de/mail.php

Для вызова страницы троянец запускает системное приложение "iexplore.exe" (вэб-броузер Internet Explorer), указывая в строке "Адрес" данную ссылку. При этом использует для сокрытия окна данного процесса специальную процедуру, благодаря которой оно невидимо для глаз пользователя.
Вызов адреса в окне вэб-броузера троянец производит через 1025-й порт сетевого протокола TCP/IP. Если же по каким-либо причинам отослать запрос не удается (например, машина отключена от Интернета или данный порт используется др. программой), то троянец увеличивает значение порта на 1 (т.е. 1026, 1027 и т.д.) и повторяет попытку соединения. Попытки соединения в случаях неудачи троянец возобновляет с временными промежутками, равными 17 секунд (для машин с ОС Windows 9X/ME/2K/XP) или 22 секунды (для машин с ОС Windows 2K/XP с установленными обновлениями SP ?). Продолжительность каждой неудавшейся попытки составляет примерно до 1 секунды, после чего троянец закрывает невидимое окно и "засыпает" еще на 17 (22) секунд(-ы).
При удачном соединении троянец считывает с указанной страницы находящуюся на ней логическую метку - на момент изучения троянца таковой была

_ret_ok_1

и сравнивает с меткой, содержащейся в его собственном коде. Если метки совпадают (в изучаемом мной образце содержится точно такая же), то троянец активизирует процедуру парольного шпионажа, которая заключается в поиске и расшифровке определенных программных и системных файлов, а также ключей реестра с целью выявления в них логинов и паролей, серийных номеров и некоторой др. конфиденциальной информации. При обнаружении таких файлов троянец расшифровывает их содержимое при помощи встроенной в его код процедуры декриптации (исключением, как уже было сказано, является игра "LineAgeII", где для извлечения ее секретных данных используется файл-утилита temp.exe). Затем выявляет в таких файлах определенные строки и считывает из них следующие данные (ниже приведены названия программ, которые обрабатываются троянцем; конкретные имена файлов, из которых извлекаются секретные данные, не приводятся по соображениям безопасности):

1. Почтовая программа The Bat!: логины и пароли пользователей;

2. Интернет-пейджер ICQ: пароль пользователя;

3. Интернет-пейджер Miranda ICQ: серийный номер программы, пароль пользователя, имя каталога установки;

4. Интернет-пейджер &RQ: пароль пользователя;

5. Настройки подключения к сети Интернет и локальных соединений: логины и пароли пользователей, IP-адреса, DNS- и WINS-сервера и т.п., сетевое имя компьютера;

6. Интернет-пейджер Trillian: регистрационные имя и номер, пользовательский пароль, программная конфигурация и тип установки;

7. Редакторы для работы с файлами Windows Commander и Total Commander: имя каталога установки, сетевое имя для входа в FTP-сеть, адрес FTP-ресурса, имя и пароль пользователя для входа в сеть и некоторые др. данные;

8. Почтовая программа RimArts Becky Internet Mail: логин и пароль пользователя, почтовый домен, уникальный номер ID, адрес почтового ящика;

9. Вэб-броузер Internet Explorer: логин и пароль пользователя, IP-адрес провайдера, пользовательские логин и пароль, настройки подключения;

10. Почтовые программы MS Outlook Express и MS Outlook: сервера входящей (POP3) и исходящей (SMTP) почты, логины и пароли пользователей, адреса почтовых ящиков, код шифра криптования посланий (если используется);

11. Системные ключи к расшифровке пользовательской информации (из кода троянца не совсем понятно какие именно);

12. FTP-клиент CuteFTP (Pro): данные для доступа, изменения/удаления ресурса;

13. Программа автодозвона E-Type Dialer: логин и пароль пользователя для подключения к сети Интернет;

14. Редактор для работы с файлами FAR Manager: имя каталога c базовыми настройками, адреса подключенных FTP-ресурсов, регистрационные данные и некоторая др. информация;

15. FTP-клиент Home FTP: извлечение регистрационных данных и каких-то настроек программной конфигурации;

16. Почтовая программа вэб-броузера Opera: расположение подкаталогов программы, почтовые адреса пользователей, логины и пароли пользователей, домен сервера почтового подключения;

17. Вэб-броузер Mozilla: какие-то данные по конфигурациям программы.

Также троянец пытается искать на диске какие-то DAT-файлы.
Похищение адресов электронной почты пользователей осуществляется, очевидно, с целью создания базы данных для последующей рассылки спама.
Все выуженные данные троянец сохраняет в создаваемом им файле C:\WINDOWS\report.bin, после чего шифрует его собственным крипт-алгоритмом. Затем генерирует "на лету" почтовое послание, которое отсылает своему автору.
Письмо с вложением имеет следующие параметры:

Тема послания: Passes from %

Отправитель: zzlib@mail.ru

Получатель: zzlib@mail.ru

Вложение: файл report.bin

Символ "%" в теме обозначает какую-то переменную, в зависимости от которой троянец может дописывать к теме еще какие-то фрагменты.
Для отправки письма троянец использует собственные возможности.
Повторная отсылка послания производится только через определенные промежутки времени; однако, если пользователь перезагрузит систему, то троянец совершит попытку отсылки письма снова, независимо от прошедшего промежутка времени, т.к. соответствующий счетчик в системной памяти троянец сохраняет только на время работы Windows.


4. Загрузка других вредоносных программ через сеть Интернет.

Перед отправкой своего послания троянец пытается скачать через вышеуказанную страницу какой-то файл Builder.exe - из кода троянца понятно лишь то, что это какой-то дополнительный модульный компонент, но непонятно при каких условиях троянец может вызвать его на закачку. Также троянец скачивает какой-то троянский файл по следующей ссылке:

http://%.%/xinch.exe

Если обнаруживает данный файл по указанному пути, то загружает его в машину, устанавливает в систему как

C:\WINDOWS\taskmgr.exe

и запускает на выполнение. При запуске данного файла в систему устанавливается еще один файл, который затем используется троянцем:

C:\WINDOWS\taskmgr.dll

При обнаружении и удачной загрузке файла xinch.exe письмо с украденной информацией отсылается под темой "Passes from Xinch". Однако на данный момент, вышеуказанная ссылка на этот файл не работает - очевидно, ее прописали в коде троянца с видами на будущее.


5. Проявления троянца во время работы с системой.

Учитывая тот факт, что в активном состоянии троянец практически постоянно пытается выйти в сеть Интернет, перебирая порты и открывая/закрывая окно вэб-броузера, а также через каждые 17-22 сек. переводит на 1 сек. управление на свой процесс, пользователи пораженных троянцем машин могут испытывать дискомфорт из-за немало заметного уменьшения быстродействия системы, а также перескакивания из рабочего программного окна "неизвестно куда", что существенно мешает нормальной работе и, в частности, набиранию текста.


6. Прочее.

В коде троянца содержатся следующие строки-комментарии на русском языке:

Диспетчер консольных программ

Windows будет работать некорректно при отключении этого сервиса



7. Детектирование и удаление троянской программы.

Троянец Trojan-PSW.InvisibleThief.23019 (файл l2decrypt.exe) был отослан инженерам Антивирусной Лаборатории Евгения Касперского и на момент создания данного описания детектируется под такими идентификационными названиями:

Антивирус Kaspersky AntiVirus: Trojan-PSW.Win32.LdPinch.qv (включен в антивирусную базу 10.07.2005)

Антивирус BitDefender Professional: Generic.PWStealer.DC1030C3 (включен в антивирусную базу 13.07.2005)

Антивирус DrWeb: Trojan.PWS.LDPinch.462 (включен в антивирусную базу 28.07.2005)

При обнаружении в машине данной троянской программы необходимо перезагрузить компьютер, после чего удалить файл l2decrypt.exe с диска. Ключи, прописанные троянцем в системном реестре, удалять не обязательно.
После этого рекомендуется сменить пароли на подключение к сети Интернет, к почтовым ящикам и т.п.

На данный момент разработаны и выложены на нашем сайте описания следующих вариантов данного вируса:

Trojan-PSW.InvisibleThief.32768
Trojan-PSW.InvisibleThief.SafetyHater


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 10.07.2005
Дата внесения последних изменений: 17.08.2005
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.0014979839325