Trojan.Pincav.Win32

Виды вредоносных программ:

Virus Trojan Backdoor Dropper Downloader Tool Adware Dialer Worm Exploit Rootkit

Trojan.Pincav.Win32

Trojan.Pincav.Win32 - троянская программа, применяющаяся для кражи финансовой информации пользователя.

Методы распространения

распространяется через файлообменные Web-сайты и социальные сети, маскируясь под полезные программы.

Функциональные возможности

При запуске троянская программа производит внедрение кода в процесс Explorer.exe, запрещает отображение скрытых файлов и отключает диспетчер задач. После чего, отключает фильтр фишинговых сайтов в Internet Explorer, и через произвольные промежутки времени открывает фишинговые Web-страницы, прописанные в файле троянской программы.

Для автоматического запуска вирус генерирует и ррегистрирует в системе свой уникальный GUID, после чего добавляет его в ветвь реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components

Каждый ключ из этой ветви может содержать параметры:

Version – текстовое представление версии, где элементы разделены запятыми.
StubPath – командная строка.

При входе пользователя в систему, Windows поэлементно сверяет содержимое ветвей HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components и HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components. Если указанный GUID из куста HKLM отсутствует в HKCU, или параметр Version в HKLM выше параметра Version в HKCU, то для данного GUID выполняется команда в параметре StubPath, где указан путь к исполняемому файлу троянской программы.
Троянская программа каждый раз удаляет данные о своём идентификаторе из ветви реестра HKEY_CURRENT_USER, в результате чего она выполняется при каждом входе пользователя в систему.

Деструктивные действия

Пытается украсть деньги пользователя, постоянно открывая в Internet браузере страницы фишинговых сайтов. На этих сайтах, у пользователя стараются получить данные, которые откроют доступ к его аккаунтам и банковским счетам. Для чего используются различные психологические приёмы и обман, например, предлагается купить какое-либо популярное программное обеспечение по очень низкой цене, для чего требуют указать номер и cvv2 кредитной карты.