Trojan.PWS.LDPinch.1061 - троянская программа, предназначенная для кражи паролей ICQ. Вредоносный код распространяется в файле oPreved.exe.
Получаемое пользователем сообщение содержит приглашение посмотреть "прикольную флэшку" и ссылку, по которой эта "флэшка" находится. Скачиваемый файл (oPreved.exe) действительно имеет значок флэш-ролика, но на самом деле — это троянец, перехватывающий пароли.
После запуска oPreved.exe создаются файлы:
%System%\Expllorer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot),
%windir%\temp\xer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot)
и временный файл C:\a.bat. Файл Expllorer.exe прописывается в автозагрузку, создавая следующие ключи в системном реестре:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run «Shel»=Expllorer.exe;
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices «Shel»=Expllorer.exe.
Передача паролей происходит через скрипт на сайте hxxp://220web.ru. Передаются все собранные пароли в системе: icq, ftp, почтовые сервисы, dialup, trilian, miranda и т.д. Также Trojan.PWS.LDPinch пытается обойти межсетевые экраны — как встроенный в операционную систему, так и некоторых сторонних разработчиков.
---
По-моему, спецы Др. Веба сделали из мухи слона. Я конечно могу ошибаться, но мне кажется, что это обычный Pinch (даже по названию видно)
Получаемое пользователем сообщение содержит приглашение посмотреть "прикольную флэшку" и ссылку, по которой эта "флэшка" находится. Скачиваемый файл (oPreved.exe) действительно имеет значок флэш-ролика, но на самом деле — это троянец, перехватывающий пароли.
После запуска oPreved.exe создаются файлы:
%System%\Expllorer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot),
%windir%\temp\xer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot)
и временный файл C:\a.bat. Файл Expllorer.exe прописывается в автозагрузку, создавая следующие ключи в системном реестре:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run «Shel»=Expllorer.exe;
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices «Shel»=Expllorer.exe.
Передача паролей происходит через скрипт на сайте hxxp://220web.ru. Передаются все собранные пароли в системе: icq, ftp, почтовые сервисы, dialup, trilian, miranda и т.д. Также Trojan.PWS.LDPinch пытается обойти межсетевые экраны — как встроенный в операционную систему, так и некоторых сторонних разработчиков.
---
По-моему, спецы Др. Веба сделали из мухи слона. Я конечно могу ошибаться, но мне кажется, что это обычный Pinch (даже по названию видно)
