VirusHunter предупреждает всех пользователей ПК о распространении опасной троянской программы Trojan-PSW.InvisibleThief.32768, принадлежащей к семейству троянцев "PdPinch" и осуществляющей кражу конфиденциальной информации с пораженных машин, а также загрузку через сеть Интернет др. вредоносных программ...


1. Инсталляция троянца в систему.

Данная троянская программа устанавливается в систему через сеть Интернет какой-то др. вредоносной программой. Троянский файл устанавливается в корневой каталог Windows-системы:

C:\WINDOWS\cssrs.exe

, после чего все та же неизвестная др. троянская программа запускает данный файл на выполнение, а также создает в системном реестре специальный ключ для возможности активизации троянца при каждом последующем запуске Windows. Класс этого ключа и его содержимое неизвестны, т.к. на зараженной машине, с которой был снят троянец Trojan-PSW.InvisibleThief.32768, установившая его троянская программа обнаружена не была.
После своего запуска Trojan-PSW.InvisibleThief.32768 создает ключ реестра

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\CSSRS.EXE"="C:\\WINDOWS\\SYSTEM32\\CSSRS.EXE:*:Enabled:CSSRS"


Данный ключ создается лишь под системами Windows 2K/XP и то только в том случае, если на них установлены системные обновления (SP4 и SP2 соответственно), и дает троянцу возможность работать как внутренний системный сервис с определенными привилегиями, а также скрывать некоторые из своих процедур от определенных системных вызовов. При этом, независимо от версии ОС Windows, троянец может активизироваться после перезапуска компьютера только в том случае, если файл cssrs.exe будет запущен др. вредоносной программой.
Троянский файл cssrs.exe написан на языке Microsoft Visual C+ и имеет размер 32768 байт. Является однокомпонентной программой; никакими утилитами компрессии или криптации не обработан. По своим функциональным возможностям сходен с троянской программой Trojan-PSW.InvisibleThief.23019, однако имеет ряд отличий.


2. Похищение конфиденциальных данных.

Сразу после своего запуска троянец пытается открыть на пораженном компьютере 1034-й порт и передать опознавательные данные в виде слова-идентификатора

_ret_ok_1

на сервер с IP-адресом 69.50.171.170. Если сервер ответил, то троянец создает в системном каталоге Windows файл C:\WINDOWS\out.bin, в который собирает и затем зашифровывает конфиденциальные данные, найденные на пораженной машине. Для (рас-)шифровки данных троянец использует встроенный в его код механизм криптации.
Перечень похищаемых троянцем секретных данных полностью совпадает со списком, приведенным в описании троянской программы Trojan-PSW.InvisibleThief.23019. Также троянец пытается искать на диске какие-то DAT-файлы.
Похищение адресов электронной почты пользователей осуществляется, очевидно, с целью создания базы данных для последующей рассылки спама.
После выуживания секретных данных троянец генерирует "на лету" почтовое послание, которое отсылает своему автору. Письмо с вложением имеет следующие параметры:

Тема послания: request(%)

Отправитель: maxaccs@gmail.com

Получатель: maxaccs@gmail.com

Вложение: файл out.bin

Символ "%" в теме обозначает какую-то переменную, в зависимости от которой троянец может дописывать к теме еще какие-то фрагменты.
Для отправки письма троянец использует сетевой HTTP-протокол, подключаясь к вышеуказанному серверу 69.50.171.170. Новый поиск конфиденциальных данных и их отсылку своему автору троянец производит только через определенные промежутки времени.


3. Загрузка других вредоносных программ через сеть Интернет.

При подключении к сети Интернет троянец открывает на пораженной машине 8020-й порт и пытается вызвать на загрузку файлы, расположенные по следующим адресам (часть фрагментов адресов я заменил значком "%" по соображениям безопасности):

http://69.50.171.170/%/z.exe
http://69.50.171.170/%/ab.php?&name=%s&ip1=%s&socks5port=8020&cid=1805

При обнаружении файлов троянец открывает 53-й порт, после чего скачивает на диск пораженной машины и запускает на выполнение 2 троянские программы:

C:\sys.exe
и
C:\WINDOWS\vr_sys.dll

Файл sys.exe представляет собой самостоятельную троянскую программу размером 104096 байт (сжата утилитой компрессии "FSG" версии 1.33), производящую какие-то вредоносные действия во время работы в сети Интернет; детально не изучалась.
Файл vr_sys.dll представляет собой плагин-дроппер (программу-пускач, "детонатор" др. троянской программы), содержащий в себе обновленную версию троянца. Данный файл ничем не сжат, размер содержащегося в нем рабочего дроппер-кода составляет 3072 байта, а остальное содержимое - файл с обновленной версией троянца. Таким образом, размер файла vr_sys.dll может быть различным и зависит от размера содержащегося в его теле обновленного файла троянца. vr_sys.dll является программой одноразового действия. Ее деятельность сводится к следующему: при запуске она не создает в реестре никаких ключей, а только ищет в определенной области системной памяти активный процесс "CSSRS.EXE", т.е. нашего троянца, выгружает его из памяти, перезаписывает файл cssrs.exe обновленной версией, которую извлекает из себя, после чего запускает уже этот новый файл на выполнение. На этом vr_sys.dll завершает свою работу и далее представляет собой ничто иное, как файловый мусор.
Также троянец пытается связываться с сервером yafveag.ru для обмена какими-то данными.


4. Прочее.

Отчет об отсылках посланий, скачанных файлах, времени осуществления последних манипуляций в сети Интернет и некоторую др. служебную информацию троянец шифрует и записывает в специально создаваемый им файл C:\1.dml. Также создает для этого файла ключ в разделе реестра

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]

, непонятно только зачем.
В коде данной модификации троянца содержится следующий текст:

aPLib v0.42 - the smaller the better :)

Copyright (c) 1998-2004 by Joergen Ibsen, All Rights Reserved.

This copy of aPLib is free for non-commercial use.

More information: http://www.%software.com/



5. Детектирование и удаление троянских программ.

На момент создания данного описания антивирусные программы обнаруживают троянца Trojan-PSW.InvisibleThief.32768 и загружаемые им с Интернета троянские файлы под следующими номенклатурными названиями:

Антивирус Kaspersky AntiVirus:
файл cssrs.exe: Trojan-PSW.Win32.PdPinch.gen
файл sys.exe (z.exe): Trojan.Win32.WebSearch.j
файл vr_sys.dll: Trojan-PSW.Win32.LdPinch.os

Антивирус BitDefender Professional:
файл cssrs.exe: Trojan.PWS.PdPinch.K
файл sys.exe (z.exe): Trojan.WebSearch.J
файл vr_sys.dll: Trojan.PWS.LdPinch.OS

Антивирус DrWeb:
файл cssrs.exe: Trojan.PWS.LDPinch.419
файл sys.exe (z.exe): Trojan.Websearch
файл vr_sys.dll: Trojan.PWS.LDPinch.419

При обнаружении в машине указанных троянских файлов необходимо убить в памяти процессы cssrs.exe и sys.exe (например, при помощи Диспетчера задач), после чего удалить данные файлы с диска. Также при желании можно удалить и файл vr_sys.dll. Ключи, прописанные троянцами в системном реестре, удалять не обязательно.
После этого рекомендуется сменить пароли на подключение к сети Интернет, к почтовым ящикам и т.п.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 25.07.2005
Дата внесения последних изменений: 25.07.2005
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00305509567261