Trojan.PWS.Stealer.23198

SHA1:

• 098884aa38a33e3d8cf43928d449a7ce383647a0
• 12ff7bd27eb870af46ae05a103ceaa3f4b792201
• 16e37157d507f046309ab87cb61ece16622a6ad7
• 1aeecef4173d8027691394530979103e66e53270
• 2b4aee49a5c0a558b4942f8ff0cc5edceb587465
• 43e7f7a55fa1d36e12df2db957cb7c76c6a53b66
• 45404e484de0a4070e74ca3e8948be903d8ab74c
• 4eb54611a15927ee933f27bd4d7ee5ca56106273
• 58ea33e587c84b0905b016f9e7b88d452a4c185a
• 640c495adc5f1d6cce01f1ae0ce811aaada5733d
• 647bc664493ff995819a633c83c0a204430adfff
• 6817b99c6a3a0add4f09774c8956d3fe68ceeee0
• 694a63b7d0d3c2423759db95527c1cafdbe97a61
• 6b3246634fc16625bdfad7eafdef29242eb36c46
• 8214e37b0857d04e7ef469974170afd3481a2815
• 826440ff43a0bb1e67f473d184384ea224ff90ff
• 82a6af37b52066548a71aadaace16ca6a67b6931
• 8a69057c9bafe8e9b10c417805fefc442fa34495
• 9090341cba30f8bd131b7ebcb52e24c2de175816
• 951847a97759b99e651f68dfed1dc6e299f89438
• a187690a65cba699a6a2dc515de4c08a214c470c
• af6d7f9da761a9156af5436a4382d02244c926c5
• b195955ee7fff718f7985ded643b8d519661e3a0
• c2c4c312686399e4465a5e6eb470c6f4ab6122a3
• f27e42e2687a38c04278db7d9f1c3a2379df772d
• f40d80741a25794b8119d630556abf3d80505e68
• f4ad80bc32ceb0cc4bed52c6279e969e9a46f15c
• f64f0ec5cac92fe5116bc7906f541ce09e9f78fe
• f70027907dae97032ffad9863ecf240050f281b6
• fabe92efaee1e07b31476a43b64d9f97bcda145b
• fdda92b160038bc611cb5dc7448249ff862b55aa

Вредоносная программа, способная заражать компьютеры под управлением ОС Microsoft Windows. Предназначена для хищения логинов, паролей и другой конфиденциальной информации. Выявлено несколько модификаций, детектируемых также под наименованием Trojan.PWS.Stealer.23012. Написана на языке Python.

Отмечены случаи распространения троянца через сервис Яндекс.Диск, ссылки на файлы публиковались в виде комментариев к видеороликам на YouTube. Вредоносная программа распространяется в виде самораспаковывающегося архива RAR SFX, имеющего следующее содержимое:

_ctypes.pyd
_hashlib.pyd
_socket.pyd
_sqlite3.pyd
_ssl.pyd
bz2.pyd
CRYPT32.dll
library.zip
main.exe
MPR.dll
PIL._imaging.pyd
pyexpat.pyd
python27.dll
pywintypes27.dll
select.pyd
sqlite3.dll
unicodedata.pyd
w9xpopen.exe
win32crypt.pyd
win32pipe.pyd
win32wnet.pyd

Сам троянец реализован в приложении main.exe (оно получено из сценария на языке Python с помощью утилиты py2exe), остальные файлы необходимы для его работы. Собираемая информация сохраняется в папке C:/PG148892HQ8, ее содержимое затем упаковывается в архив с именем spam.zip, который вместе с данными о расположении зараженного устройства отправляется на сервер злоумышленников. Троянец собирает следующую информацию на инфицированном устройстве:

• файлы Cookies браузеров Vivaldi, Chrome, YandexBrowser, Opera, Kometa, Orbitum, Dragon, Amigo, Torch;
• сохраненные логины/пароли из этих же браузеров;
• снимок экрана
• файлы с Рабочего стола Windows, имеющие расширения ".txt", ".pdf", ".jpg", ".png", ".xls", ".doc", ".docx", ".sqlite", ".db", ".sqlite3", ".bak", ".sql", ".xml"

Новость о троянце