Уязвимые ОС: Win95/98/Me/NT/2000/XP/2003
Размер: 30 - 45 Кбайт
Упакован: UPX, POLY!Crypt, PECOMPACT, MEW и.т.д.
- Может распространяться либо как отдельная программа, либо как составная часть других вредоносных программ - загрузчиков и дропперов.
- Собирает информацию об аппаратной конфигурации поражённого компьютера, сетевых соединениях, запущенных процессах, установленных программах.
- Отдельные модификации, для маскировки своего присутствия в поражённой системе, могут устанавливать дополнительные драйверы.
- В зависимости от модификации может регистрировать свой исполняемый файл в секции автозагрузки для обеспечения своего запуска при каждом старте Windows:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
[label] = [Path to LDPinch file] - Будучи запущенным, сканирует систему в поисках паролей. Целевыми программами являются почтовые клиенты, программы мгновенного обмена сообщениями, FTP-клиенты:
Total Commander XP
CuteFTP Pro
Eudora
Thunderbird
Miranda IM
QIP
QIP2005
FileZilla
Mozilla
Mozilla Firefox
The Bat!
Far
Punto Switcher (файл diary.dat)
SmartFTP
- Регистрирует себя с инфицированной системе в числе доверенных приложений для обхода встроенного в Windows XP межсетевого экрана и межсетевых экранов других производителей.
- Похищенная информация с инфицированного компьютера пересылается на определённый почтовый адрес.
1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Закрыть все активные окна Internet Explorer и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
4. Сменить все зарегистрированные в системе пароли.
