3 lipca 2001

Trojan.PSW.Widget - kradnie informacje, formatuje dysk i przeprowadza atak DoS

Jest to koń trojański kradnący hasła oraz informacje o użytkownikach systemu WebMoney. Trojan ma możliwość "uaktualniania" się poprzez Internet. Wirus został zaimplementowany w pakietach gier rozpowszechnianych jako freeware w maju bieżącego roku.

Z uwagi na fakt, że trojan ma możliwość uaktualniania się, informacje podane poniżej mogą nie pokrywać się ze z jego nowymi wersjami.

Instalacja

Po uruchomieniu trojan kopiuje się do systemowego katalogu Windows z nazwą TASKSVR32.EXE i umieszcza tą kopię w sekcji auto-run rejestru systemowego:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Task Manager = tasksvr32.exe

Jeśli podczas tworzenia klucza rejestru wystąpi błąd (bieżący użytkownik nie ma dostępu do kluczy HKLM) trojan rejestruje się w kluczu HKCU:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Task Manager = tasksvr32.exe

Następnie szkodnik tworzy w systemowym katalogu Windows pomocniczy plik COOLX.DLL i usuwa swój oryginalny plik.

Ponadto trojan tworzy kilka dodatkowych kluczy rejestru i zapisuje w nich heksadecymalne wartości:

HKCU\Software\Microsoft\DirectX
DRMInstallFocus = %wartość hex%
DRMInstallPlace = %wartość hex%
DRMUpdateFocus = %wartość hex%
DRMUpdatePlace = %wartość hex%
DRMVersion = %wartość hex%

Szkodnik pozostaje w pamięci jako ukryty proces Windows i jest aktywny aż do momentu zamknięcia systemu operacyjnego.

Kradzione informacje

Koń trojański wysyła do swojego twórcy następujące informacje o zainfekowanym komputerze:

  • nazwa komputera
  • nazwa użytkownika
  • ciągi RegisteredOwner oraz RegisteredOrganization
  • informacje o zainstalowanym sprzęcie
  • informacje o zasobach sieciowych wraz z trybem dostępu
  • adres IP
  • hasła
  • internetowe loginy i hasła
  • numer i informacje o użytkowniku ICQ
  • informacje oraz pliki systemu WebMoney

Uaktualnianie

W zależności od różnych warunków trojan pobiera pliki z internetowych stron WWW, umieszcza je w katalogu tymczasowym Windows z nazwą RTTY32.EXE i uruchamia. Pliki te są kolejnymi wersjami szkodnika.

Znana wersja trojana pobiera uaktualnienia z poniższych stron:

sfavp.chat.ru/update
widpage.chat.ru/update

Funkcje dodatkowe

Niektóre znane wersje trojana wykonują dodatkowe operacje:

  • nadpisują plik C:\AUTOEXEC.BAT trojanem formatującym dysk C:
  • uruchamiają program Internet Explorer i otwierają jedną z poniższych stron:

    http://vrs.ru
    http://ebooks.vov.ru
    http://3w.ozonebooks.com

  • przeprowadzają atak DoS na stronie http://www.ibm.com.