На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan-PSW

Trojan-PSW.Win32.LdPinch.bkh


Rootkit:  Нет
Видимые проявления:  Средства проактивной защиты детектируют модификацию памяти процесса svchost.exe

Разновидность знаменитой троянской программ «LdPinch», предназначенной для кражи паролей. Файл имеет размер 43989 байт, сжат FSG. Исполняемый файл является по сути «инжектором» трояна, так как в случае запуска скрытно выполняет следующие действия:
1. Запускает системный процесс C:\WINDOWS\system32\svchost.exe
2. Производит запись в его память троянского кода
3. Запускает внедренный на шаге 2 троянский код путем модификации контекста главного потока процесса таким образом, чтобы управление получил троянский код. После выполнения данной операции процесс завершает свою работу

Инжектирование кода является мерой маскировки процесса и позволяет обходить Firewall, не обладающие средствами контроля над модификацией контекста и записью в память процесса. Инжектированный код является классическим Pinch, он собирает пароли и передает их через сервер topmail.kz на один из расположенных там почтовых ящиков. Пароли передаются в виде файла «report.bin», заголовок письма «pinch3 Report(<имя ПК>)»

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.