17.01.2007
Trojan-PSW.Win32.LdPinch.bkh
Разновидность знаменитой троянской программ «LdPinch», предназначенной для кражи паролей. Файл имеет размер 43989 байт, сжат FSG. Исполняемый файл является по сути «инжектором» трояна, так как в случае запуска скрытно выполняет следующие действия:
1. Запускает системный процесс C:\WINDOWS\system32\svchost.exe
2. Производит запись в его память троянского кода
3. Запускает внедренный на шаге 2 троянский код путем модификации контекста главного потока процесса таким образом, чтобы управление получил троянский код. После выполнения данной операции процесс завершает свою работу
Инжектирование кода является мерой маскировки процесса и позволяет обходить Firewall, не обладающие средствами контроля над модификацией контекста и записью в память процесса. Инжектированный код является классическим Pinch, он собирает пароли и передает их через сервер topmail.kz на один из расположенных там почтовых ящиков. Пароли передаются в виде файла «report.bin», заголовок письма «pinch3 Report(<имя ПК>)»