На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)"



Главная / Информационная безопасность / Описания вирусов / Описания вирусов / Trojan-PSW

Trojan-PSW.Win32.LdPinch.sf


04.08.2005

Trojan-PSW.Win32.LdPinch.sf

Trojan-PSW.Win32.LdPinch.sf стал знаменит из-за его массовой рассылки по ICQ и шума, который был поднят в различных  
Интернет-источниках  о эпидемии ICQ вируса. Для внесения ясности вот подробная информация о вирусе.
Файл имеет имя chipes.exe, размер 22308 байта (препарируемый образец пойман разработчиками антивируса VBA, возможно, есть другие похожие вариации). Запуск висура достигается средствами социальной инженерии, обычно в виде предложения "посмотреть прикольный flash ролик".
Файл имеет признаки защиты от сигнатурного поиска - он обработан Pe Patch и MEW. Под всем этим скрывается троян, а именно - Trojan-PSW.Win32.LdPinch.sf по классификации лаборатории Касперского.
Вирус никак не проявлет своего запуска, поведение - типичное для пинча - собирает пароли и отправляет их создателям. В данном случае передача паролей идет на адрес хттп://botse.net/images/gate/mail3.php по методу POST, заголовок:
a=**адрес получателя**&b=Passes from Pinch 2(OLEG-VPC)&d=pass.bin&c= .....
на месте ..... - добытые пароли. Формат сообщения абсолютно типичен для пинча, в скобках указано имя тестового ПК, на котором проводилось исследование.
Вирус детектируется эвристиком AVZ, т.к. обладает руткит-механизмом для маскировки. Маскировка достигается за счет перехвата функции ZwQuerySystemInformation, которая ведется на уровне ядра драйвером system32\drivers\SYSpnch.sys
 
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
   SDT = 80559B80
   KiST = 804E2D20 (284)
Функция ZwQuerySystemInformation (AD) перехвачена (8057CC27->FCB3E300), перехватчик C:\WINDOWS\system32\drivers\SYSpnch.sys

За счет руткита обнаружение процесса данного трояна прир помощи стандартных средств невозможно.

Лечение
Лечение придполагает удаление данной троянской программы, и обязательную замену всех паролей, причем чем быстрее произойдет их замена, тем лучше.

Удаление предполагает следующие шаги:
1. Пролечить ПК при помощи AVZ с включенным противодействие руткитам
2. Удалить файл system32\drivers\SYSpnch.sys
3. В списке процессов AVZ найти троянскую программу - ее найдет эвристик AVZ, указав в ходе противодействия руткиту на то, что процесс ... маскируется от обнаружения





Top.Mail.Ru

(С) Зайцев О.В.
2003-2022

При использовании любых материалов данного сайта необходимо указывать источник информации.