VirusHunter предупреждает всех пользователей ПК о распространении новой модификации опасной троянской программы Trojan-PSW.InvisibleThief.SafetyHater (aka Trojan.PWS.PdPinch), осуществляющей кражу конфиденциальной информации с пораженных машин, обходя фаерволлы, а также блокирующей работу защитных программ...


1. Предварительная информация.

Троянская программа распространяется неизвестными злоумышленниками в сети Интернет под видом "полезных" программ - например, под видом кейгена (генератора серийных номеров) для программы Arles Image Web Page Creator v5.0. Данный файл называется crack.exe (хотя имя может быть изменено злоумышленниками) и был выявлен одним из пользователей. На момент обнаружения располагался в Интернете по ссылке (некоторые фрагменты по соображениям безопасности заменены мной символом "%")

http://www.%.hotmail.ru/crack.exe

и не детектировался никаким антивирусным ПО. Предположительно был создан в России или на Украине примерно в середине августа этого года.
crack.exe - троянец, представляющий собой Windows-программу размером 70197 байт. Файл сжат утилитой компрессии "UPX" v1.25, а поверх UPX-сжатия зашифрован крипт-утилитой "Morphine". Программа выполнена в виде оболочки типа Setup Boot Shell (программы-инталлятора), содержит в своем коде информационную секцию с "липовыми" данными, благодаря чему при просмотре свойств данного файла можно увидеть следующие сведения:


Внутри оболочки crack.exe находятся 2 файла:

EXE-файл (основная часть кода, встроенная в инсталлятор) - имеет размер порядка 250 кб, сжат утилитой компрессии "UPX" v1.23 (в декомпрессированном виде имеет размер порядка 440 кб). Написан на языке Microsoft Visual C+ и представляет собой набор троянских функций, позволяющих скрытно выуживать и похищать с зараженной машины конфиденциальные пользовательские и системные данные, а также блокировать работу антивирусных программ и фаерволлов;

temp.exe (самостоятельный файл) - имеет размер 51200 байт, сжат утилитой компрессии "UPX" v1.23 (в декомпрессированном виде имеет размер 241664 байта). Написан на языке Microsoft Visual C+ и представляет собой кейген (генератор серийных номеров) для программы Arles Image Web Page Creator v5.0 и не содержит никаких вредоносных функций.


2. Инсталляция троянца в систему.

При запуске пользователем файла crack.exe управление получает содержащийся в нем троянский код. Если в корневом системном каталоге (обычно таковым является C:\WINDOWS\) отсутствует файл с названием temp.exe (например, если троянская программа запускается на еще незараженной машине), то троянец извлекает из оболочки файла crack.exe файл-кейген temp.exe, записывает его как

C:\WINDOWS\temp.exe

, после чего запускает данный файл на выполнение. Его иконка выглядит следующим образом:


Рабочее окно с полями для ввода и генерации серийных номеров имеет следующий вид:


Таким образом, в память загружается 2 процесса - temp.exe и троянский процесс crack.exe. При закрытии окна кейгена завершается только выполнение программы C:\WINDOWS\temp.exe, а процесс crack.exe так и остается активным вплоть до завершения работы Windows. При этом пользователь уверен в том, что запустил безобидный кейген, сгенерировав "на шару" серийный номер для регистрации программы. Но, как говорится, бесплатный сыр бывает только в мышеловке.
Если файл crack.exe запускается пользователем повторно (т.е. когда файл C:\WINDOWS\temp.exe уже существует), то в память загружается еще одна копия троянца, а кейген более не запускается на выполнение - создается иллюзия, что генератор серийных номеров просто-напросто перестал работать.
Троянец создает в системе нижеприведенную запись в следующих разделах ключей реестра:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%path%\\crack.exe"="%path%\\crack.exe:*:Enabled:crack"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%path%\\crack.exe"="%path%\\crack.exe:*:Enabled:crack"


, где %path% - путь к местоположению запущенного пользователем файла crack.exe. Данные записи создаются лишь под системами Windows 2K/XP и то только в том случае, если на них установлены системные обновления (SP4 и SP2 соответственно). Это дает троянцу возможность работать как внутренний системный сервис с определенными привилегиями, а также скрывать большую часть своих процедур от определенных системных вызовов. При этом, независимо от версии ОС Windows, троянец может активизироваться после перезапуска компьютера только в том случае, если пользователь собственноручно запустит файл crack.exe.


3. Похищение конфиденциальных данных.

Сразу же после своего запуска троянец пытается соединиться с каким-то Интернет-сервером, для чего запускает системное приложение C:\Program Files\Internet Explorer\iexplore.exe (вэб-броузер Internet Explorer). При этом он (троянец) использует для сокрытия окна данного процесса специальную процедуру, благодаря которой оно невидимо для глаз пользователя. Вызов ресурса осуществляется как бы от имени Internet Explorer, через 1025-й порт сетевого протокола TCP/IP. Если же по каким-либо причинам осуществить вызов не удается (например, машина отключена от Интернета или данный порт используется др. программой), то троянец увеличивает значение порта на 1 (т.е. 1026, 1027 и т.д.) и повторяет попытку соединения. Попытки соединения в случаях неудачи троянец возобновляет с временными промежутками, равными 17 секунд (для машин с ОС Windows 9X/ME/2K/XP) или 22 секунды (для машин с ОС Windows 2K/XP с установленными обновлениями SP4 и SP2 соответственно). Продолжительность каждой неудавшейся попытки составляет примерно до 1 секунды, после чего троянец закрывает невидимое окно и "засыпает" еще на 17 (22) секунд(-ы).
При удачном соединении троянец, используя ресурсы Internet Explorer и сетевой HTTP-протокол обмена данными, пытается установить соединение с каким-то удаленным сервером. В том случае, если сервер отвечает на запросы, троянец генерирует почтовое послание с темой

Passes from Xinch

, в которое записывает в зашифрованном виде все выуженные из зараженной машины конфиденциальные данные, и отправляет это письмо, используя сетевой HTTP-протокол, своему автору на неустановленный адрес. Перечень всего того, что похищает троянец, полностью идентичен приведенному в описании модификации Trojan-PSW.InvisibleThief.23019.
По окончании передачи послания троянец отсылает серверу кодовое слово

Готово

4. Противостояние антивирусным программам и фаерволлам.

Троянец постоянно сверяет имена запускаемых на выполнение программ со списком, содержащимся в его коде (приведен ниже в оригинальном виде):

NOD32KUI
NOD32KUI
avpcc
VSMON
ZAPRO
APVDWIN
PAVSRV51
avpcc
WEBPROXY
navpw32
Avp32
PccPfw
ATUPDATER
ATUPDATER
AUPDATE
AUTODOWN
AUTOTRACE
AUTOUPDATE
AVPUPD
AVWUPD32
NOD32krn
NOD32krn
AlertManger
AVWUpSrv
AVPCC
AVWUpSrv
Ahnlab
task
Scheduler
alerter
AlertManger
AVExch32Service
avg7alrt
avg7updsvc
AvgCore
AvgFsh
AvgServ
avpcc
AVPCC
AVUPDService
AvxIni
awhost32
backweb client - 4476822
BackWeb Client - 7681197


Если имя какой-либо загружаемой (или уже загруженной) в память программы соответствует одному из вышеперечисленных, то троянец принудительно завершает ее работу, используя для этого системную процедуру типа CloseProgram. Таким образом, троянец не только скрывается от функций-анализаторов, используемых в фаерволлах (программах Интернет-защиты) и антивирусных мониторах, получая возможность скрытно похищать информацию даже с защищенных машин, но и полностью блокирует работу защитного ПО. Однако в данной процедуре имеют место 2 ошибки (по крайней мере, столько я насчитал). 1-я заключается в некорректной записи некоторых имен файлов в коде троянца: судя по всему, список собирался из двух частей, позаимствованных из кода др. вирусов. По этой причине часть списка "поплыла" и некоторые программы, несмотря на соответствие своих имен вышеперечисленным, остаются работоспособными и не выгружаются из памяти - например, AvxIni.exe. 2-я ошибка заключается в том, что авторы троянца не учли одну простую вещь: многие из защитных программ также скрывают свои компоненты от различных системных вызовов, в том числе и от аналогичных троянской процедуре. Таковой является, например, фаерволл ZoneAlarm Pro. Его компонент - vsmon.exe, троянец не смог выгрузить, хотя в ходе теста завершил практически моментально выполнение файла, которому также было присвоено данное имя. Вот и получается интересная вещь: фаерволл видит троянца, но не замечает осуществляемого им процесса хищения данных с компьютера, а троянец замечает этот самый фаерволл и хочет его выгрузить, но не может получить доступ к его процессам в памяти...


5. Прочее.

В коде данной модификации троянца содержится тот же текст, что и в модификации Trojan-PSW.InvisibleThief.32768:

aPLib v0.42 - the smaller the better :)

Copyright (c) 1998-2004 by Joergen Ibsen, All Rights Reserved.

This copy of aPLib is free for non-commercial use.

More information: http://www.%software.com/



6. Детектирование и удаление троянской программы.

Троянец Trojan-PSW.InvisibleThief.SafetyHater (файл crack.exe) был отослан инженерам Антивирусной Лаборатории Евгения Касперского и на момент создания данного описания детектируется под такими идентификационными названиями:

Антивирус Kaspersky AntiVirus: Trojan-PSW.Win32.PdPinch.ew (включен в антивирусную базу 30.08.2006)

Антивирус BitDefender Professional: DeepScan:Generic.PWStealer.1D99F350 (включен в антивирусную базу 20.01.2007)

Антивирус DrWeb: Trojan.PWS.LDPinch.1143 (включен в антивирусную базу 13.09.2006)

При обнаружении в машине данной троянской программы необходимо перезагрузить компьютер, после чего удалить файл crack.exe с диска. Ключи, прописанные троянцем в системном реестре, удалять не обязательно.
После этого рекомендуется сменить пароли на подключение к сети Интернет, к почтовым ящикам и т.п.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 31.08.2006
Дата внесения последних изменений: 21.01.2007
Благодарности: пользователю Карпову Роману за выявление и пересылку образца троянца для возможности его изучения и детектирования
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.0042610168457