Trojan-PSW.Win32.MailPass.ao

Тема в разделе "Борьба с типовыми зловредами", создана пользователем zirreX, 26 ноя 2011.

  1. zirreX
    Оффлайн

    zirreX Ассоциация VN

    Сообщения:
    739
    Симпатии:
    440
    Trojan-PSW.Win32.MailPass.ao

    Вредоносная программа, предназначенная для кражи пользовательских аккаунтов (логин/пароль) от почтовых ящиков.

    Отчет VirusTotal

    * File name: c:\documents and settings\user\desktop\video\video.exe
    * File length: 256512 bytes
    * File signature (PEiD): UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo

    После распаковки имеет размер 412160 байт, написан на Microsoft Visual C++.

    Созданные файлы:

    C:\Documents and Settings\Admin\Application Data\175510309.log
    C:\Documents and Settings\Admin\Application Data\svchost.exe
    C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{D63A7A77-0C63-11E1-AE34-080027414EA4}.dat
    C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\{DD34CCA4-0C63-11E1-AE34-080027414EA4}.dat

    Создаёт и запускает процесс с именем:
    C:\Documents and Settings\Admin\Application Data\svchost.exe

    Созданные ключи в реестре:

    Для автоматического запуска при каждом следующем старте системы создается ключ системного реестра:
    * Creates value "svchost=C:\Documents and Settings\Admin\Application Data\svchost.exe" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run

    * Creates value "SymbolicLinkValue=5C00520045004700490053005400520059005C0055005300450052005C00530061006E0064
    0062006F0078005F00410064006D0069006E005F004200530041005C0075007300650072005C00630075007200720065006E0074005F0063006C0061007300730065007300" in key HKEY_CURRENT_USER\software\classes
    * Creates value "CHK=D41D8CD98F00B204E9800998ECF8427E" in key HKEY_CURRENT_USER\software\UPD

    Сетевая активность:
    DNS Query(staropol.ks.ua)
    OUT,TCP - HTTP,192.168.1.2,195.64.184.86:80,C:\Program Files\Internet Explorer\iexplore.exe
    IN,TCP - HTTP,195.64.184.86:80,192.168.1.2,C:\Program Files\Internet Explorer\iexplore.exe
    DNS Query(www.ukraine.com.ua)
    OUT,TCP - HTTP,192.168.1.2,91.206.200.103:80,C:\Program Files\Internet Explorer\iexplore.exe
    IN,TCP - HTTP,91.206.200.103:80,192.168.1.2,C:\Program Files\Internet Explorer\iexplore.exe
    DNS Query(ukraine.com.ua)

    Проверяет наличие установленных почтовых клиентов, в случае нахождения такового собирает юзернеймы\пароли.
    Код (Text):
    TEmailAccountItem
    TModule_Email
    TModule_Becky
    TModule_The_Bat
    TOutlookItem@
    TOutlookIdentItem
    TModule_Outlook
    TModule_Eudora
    TModule_Gmail
    TModule_MRA
    TModule_IncrediMail
    TModule_GroupMailFree
    TModule_VypressAuvis
    TModule_PocoMail
    TModule_ForteAgent
    TModule_Scribe
    TModule_POPPeeper
    TModule_MailCommander
    TWindowsMailItemD
    TModule_Windows_Mail_Base
    TModule_Windows_Mail_Live
    TModule_Windows_Mail_Vista
    SVW3
    ZYYd
    Server type:
    Email:
    Server:
    Password:
    User:
    Account:
    Account password:
    SVWU
    |[E3
    ]_^[
    SVW3
    ZYYd
    ZYYd
    \*.*
    \Mailbox.ini
    MailAddress
    Account
    MailServer
    UserID
    ZYYd
    DataDir
    Software\RimArts\B2\Settings
    ZYYd
    _^[YY]
    Becky
    QSVW
    tF-Y
    ZYYd
    ZYYd
    SVW3
    ZYYd
    ZYYd
    ZYYd
    \account.cfn
    \account.cfg
    \*.*
    ZYYd
    \BatMail\
    \The Bat!\
    Working Directory
    ProgramDir
    Default
    Count
    Dir #
    +-0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz
    QQQQQSVW
    ZYYd
    ZYYd
    ZYYd
    The Bat!
    SVWU
    ]_^[
    QSVW
    ZYYd
    Email:
    User (POP3):
    Password (POP3):
    Server (POP3):
    User (IMAP):
    Password (IMAP):
    Server (IMAP):
    User (NNTP):
    Password (NNTP):
    Server (NNTP):
    User (SMTP):
    Password (SMTP):
    Server (SMTP):
    User (HTTP):
    Password (HTTP):
    Server (HTTP):
    ZYYd
    ZYYd
    SVW3
    ZYYd
    identification
    identitymgr
    inetcomm server passwords
    outlook account manager passwords
    SMTP Email Address
    SMTP Server
    POP3 Server
    POP3 User Name
    SMTP User Name
    NNTP Email Address
    NNTP User Name
    NNTP Server
    IMAP Server
    IMAP User Name
    Email
    HTTP User
    HTTP Server URL
    POP3 User
    IMAP User
    HTTPMail User Name
    HTTPMail Server
    SMTP User
    POP3 Password2
    IMAP Password2
    NNTP Password2
    HTTPMail Password2
    SMTP Password2
    POP3 Password
    IMAP Password
    NNTP Password
    HTTP Password
    SMTP Password
    Имеет функционал кейлоггера.

    Созданные мьютексы:
    * Creates a mutex "Local\ZonesCounterMutex".
    * Creates a mutex "Local\!IETld!Mutex".
    * Creates a mutex "Local\ZoneAttributeCacheCounterMutex".
    * Creates a mutex "Local\ZonesCacheCounterMutex".
    * Creates a mutex "Local\ZonesLockedCacheCounterMutex".
    * Creates a mutex "ALLOWONEINSTANCEONLY".
    * Creates a mutex "Local\_!MSFTHISTORY!_".
    * Creates a mutex "Local\c:!documents and settings!admin!local settings!temporary internet files!content.ie5!".
    * Creates a mutex "Local\c:!documents and settings!admin!cookies!".
    * Creates a mutex "Local\c:!documents and settings!admin!local settings!history!history.ie5!".
    * Creates a mutex "RasPbFile".
    * Creates a mutex "SHIMLIB_LOG_MUTEX".
    * Creates a mutex "Local\!BrowserEmulation!SharedMemory!Mutex".
    * Creates a mutex "ConnHashTable<2996>_HashTable_Mutex".
    * Creates a mutex "CTF.LBES.MutexDefaultS-1-5-21-329068152-1935655697-1957994488-1003".
    * Creates a mutex "CTF.Compart.MutexDefaultS-1-5-21-329068152-1935655697-1957994488-1003".
    * Creates a mutex "CTF.Asm.MutexDefaultS-1-5-21-329068152-1935655697-1957994488-1003".
    * Creates a mutex "CTF.Layouts.MutexDefaultS-1-5-21-329068152-1935655697-1957994488-1003".
    * Creates a mutex "CTF.TMD.MutexDefaultS-1-5-21-329068152-1935655697-1957994488-1003".
    * Creates a mutex "CTF.TimListCache.FMPDefaultS-1-5-21-329068152-1935655697-1957994488-1003MUTEX.DefaultS-1-5-21-329068152-1935655697-1957994488-1003".
    * Creates a mutex "Local\RSS Eventing Connection Database Mutex 00000bb4".
    * Creates a mutex "Local\Feed Eventing Shared Memory Mutex S-1-5-21-329068152-1935655697-1957994488-1003".
    * Creates a mutex "Local\c:!documents and settings!admin!ietldcache!".
    * Creates a mutex "Local\c:!documents and settings!admin!local settings!application data!microsoft!feeds cache!".
    * Creates a mutex "Local\IEHistJournalGlobal_3bf1c317-e96b-46f6-ba88-50c001d497aa".
    * Creates a mutex "Local\IEHistJournalMx_1699bb90-bebe-4437-b6e8-a6b7123fa38e_14EF6598_C:: DOCUMENTS AND SETTINGS:ADMIN:LOCAL SETTINGS:TEMPORARY INTERNET FILES:SUGGESTEDSITES.DAT".
    * Creates a mutex "Local\Feed Arbitration Shared Memory Mutex [ User : S-1-5-21-329068152-1935655697-1957994488-1003 ]".
    * Creates a mutex "Local\Feeds Store Mutex S-1-5-21-329068152-1935655697-1957994488-1003".
    * Creates a mutex "Local\!IECompat!Mutex".
     
    Kиpилл, Alex.M, Tiare и 6 другим нравится это.

Поделиться этой страницей