Trojan-PSW.Win32.MailPass.ao

zirreX

Ассоциация VN
Сообщения
733
Симпатии
336
Баллы
443
#1
Trojan-PSW.Win32.MailPass.ao

Вредоносная программа, предназначенная для кражи пользовательских аккаунтов (логин/пароль) от почтовых ящиков.

Отчет VirusTotal

* File name: c:\documents and settings\user\desktop\video\video.exe
* File length: 256512 bytes
* File signature (PEiD): UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo

После распаковки имеет размер 412160 байт, написан на Microsoft Visual C++.

Созданные файлы:

C:\Documents and Settings\Admin\Application Data\175510309.log
C:\Documents and Settings\Admin\Application Data\svchost.exe
C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{D63A7A77-0C63-11E1-AE34-080027414EA4}.dat
C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\{DD34CCA4-0C63-11E1-AE34-080027414EA4}.dat

Создаёт и запускает процесс с именем:
C:\Documents and Settings\Admin\Application Data\svchost.exe

Созданные ключи в реестре:

Для автоматического запуска при каждом следующем старте системы создается ключ системного реестра:
* Creates value "svchost=C:\Documents and Settings\Admin\Application Data\svchost.exe" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run

* Creates value "SymbolicLinkValue=5C00520045004700490053005400520059005C0055005300450052005C00530061006E0064
0062006F0078005F00410064006D0069006E005F004200530041005C0075007300650072005C00630075007200720065006E0074005F0063006C0061007300730065007300" in key HKEY_CURRENT_USER\software\classes
* Creates value "CHK=D41D8CD98F00B204E9800998ECF8427E" in key HKEY_CURRENT_USER\software\UPD

Сетевая активность:
DNS Query(staropol.ks.ua)
OUT,TCP - HTTP,192.168.1.2,195.64.184.86:80,C:\Program Files\Internet Explorer\iexplore.exe
IN,TCP - HTTP,195.64.184.86:80,192.168.1.2,C:\Program Files\Internet Explorer\iexplore.exe
DNS Query(www.ukraine.com.ua)
OUT,TCP - HTTP,192.168.1.2,91.206.200.103:80,C:\Program Files\Internet Explorer\iexplore.exe
IN,TCP - HTTP,91.206.200.103:80,192.168.1.2,C:\Program Files\Internet Explorer\iexplore.exe
DNS Query(ukraine.com.ua)

Проверяет наличие установленных почтовых клиентов, в случае нахождения такового собирает юзернеймы\пароли.
Код:
TEmailAccountItem
TModule_Email
TModule_Becky
TModule_The_Bat
TOutlookItem@
TOutlookIdentItem
TModule_Outlook 
TModule_Eudora
TModule_Gmail
TModule_MRA
TModule_IncrediMail
TModule_GroupMailFree
TModule_VypressAuvis
TModule_PocoMail
TModule_ForteAgent
TModule_Scribe
TModule_POPPeeper
TModule_MailCommander
TWindowsMailItemD
TModule_Windows_Mail_Base
TModule_Windows_Mail_Live
TModule_Windows_Mail_Vista
SVW3
ZYYd
Server type: 
Email: 
Server: 
Password: 
User: 
Account: 
Account password: 
SVWU
|[E3
]_^[
SVW3
ZYYd
ZYYd
\*.*
\Mailbox.ini
MailAddress
Account
MailServer
UserID
ZYYd
DataDir
Software\RimArts\B2\Settings
ZYYd
_^[YY]
Becky
QSVW
tF-Y
ZYYd
ZYYd
SVW3
ZYYd
ZYYd
ZYYd
\account.cfn
\account.cfg
\*.*
ZYYd
\BatMail\
\The Bat!\
Working Directory
ProgramDir
Default
Count
Dir #
+-0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz
QQQQQSVW
ZYYd
ZYYd
ZYYd
The Bat!
SVWU
]_^[
QSVW
ZYYd
Email: 
User (POP3): 
Password (POP3): 
Server (POP3): 
User (IMAP): 
Password (IMAP): 
Server (IMAP): 
User (NNTP): 
Password (NNTP): 
Server (NNTP): 
User (SMTP): 
Password (SMTP): 
Server (SMTP): 
User (HTTP): 
Password (HTTP): 
Server (HTTP): 
ZYYd
ZYYd
SVW3
ZYYd
identification
identitymgr
inetcomm server passwords
outlook account manager passwords
SMTP Email Address
SMTP Server
POP3 Server
POP3 User Name
SMTP User Name
NNTP Email Address
NNTP User Name
NNTP Server
IMAP Server
IMAP User Name
Email
HTTP User
HTTP Server URL
POP3 User
IMAP User
HTTPMail User Name
HTTPMail Server
SMTP User
POP3 Password2
IMAP Password2
NNTP Password2
HTTPMail Password2
SMTP Password2
POP3 Password
IMAP Password
NNTP Password
HTTP Password
SMTP Password
Имеет функционал кейлоггера.

Созданные мьютексы:
* Creates a mutex "Local\ZonesCounterMutex".
* Creates a mutex "Local\!IETld!Mutex".
* Creates a mutex "Local\ZoneAttributeCacheCounterMutex".
* Creates a mutex "Local\ZonesCacheCounterMutex".
* Creates a mutex "Local\ZonesLockedCacheCounterMutex".
* Creates a mutex "ALLOWONEINSTANCEONLY".
* Creates a mutex "Local\_!MSFTHISTORY!_".
* Creates a mutex "Local\c:!documents and settings!admin!local settings!temporary internet files!content.ie5!".
* Creates a mutex "Local\c:!documents and settings!admin!cookies!".
* Creates a mutex "Local\c:!documents and settings!admin!local settings!history!history.ie5!".
* Creates a mutex "RasPbFile".
* Creates a mutex "SHIMLIB_LOG_MUTEX".
* Creates a mutex "Local\!BrowserEmulation!SharedMemory!Mutex".
* Creates a mutex "ConnHashTable<2996>_HashTable_Mutex".
* Creates a mutex "CTF.LBES.MutexDefaultS-1-5-21-329068152-1935655697-1957994488-1003".
* Creates a mutex "CTF.Compart.MutexDefaultS-1-5-21-329068152-1935655697-1957994488-1003".
* Creates a mutex "CTF.Asm.MutexDefaultS-1-5-21-329068152-1935655697-1957994488-1003".
* Creates a mutex "CTF.Layouts.MutexDefaultS-1-5-21-329068152-1935655697-1957994488-1003".
* Creates a mutex "CTF.TMD.MutexDefaultS-1-5-21-329068152-1935655697-1957994488-1003".
* Creates a mutex "CTF.TimListCache.FMPDefaultS-1-5-21-329068152-1935655697-1957994488-1003MUTEX.DefaultS-1-5-21-329068152-1935655697-1957994488-1003".
* Creates a mutex "Local\RSS Eventing Connection Database Mutex 00000bb4".
* Creates a mutex "Local\Feed Eventing Shared Memory Mutex S-1-5-21-329068152-1935655697-1957994488-1003".
* Creates a mutex "Local\c:!documents and settings!admin!ietldcache!".
* Creates a mutex "Local\c:!documents and settings!admin!local settings!application data!microsoft!feeds cache!".
* Creates a mutex "Local\IEHistJournalGlobal_3bf1c317-e96b-46f6-ba88-50c001d497aa".
* Creates a mutex "Local\IEHistJournalMx_1699bb90-bebe-4437-b6e8-a6b7123fa38e_14EF6598_C:: DOCUMENTS AND SETTINGS:ADMIN:LOCAL SETTINGS:TEMPORARY INTERNET FILES:SUGGESTEDSITES.DAT".
* Creates a mutex "Local\Feed Arbitration Shared Memory Mutex [ User : S-1-5-21-329068152-1935655697-1957994488-1003 ]".
* Creates a mutex "Local\Feeds Store Mutex S-1-5-21-329068152-1935655697-1957994488-1003".
* Creates a mutex "Local\!IECompat!Mutex".
 
Сверху Снизу