Trojan.Pincav.Win32
Trojan.Pincav.Win32 - троянська програма, що застосовується для крадіжки фінансової інформації користувача.
Методи поширення
Поширюється через файлообмінні Web-сайти і соціальні мережі, маскуючись під корисні програми.
Функціональні можливості
При запуску троянська програма робить впровадження коду в процес Explorer.exe, забороняє відображення прихованих файлів і відключає диспетчер завдань. Після чого, відключає фільтр фішингових сайтів в Internet Explorer, і через довільні проміжки часу відкриває фішингові Web-сторінки, прописані у файлі троянської програми.
Для автоматичного запуску вірус генерує і рреєструє в системі свій унікальний GUID, після чого додає його в гілку реєстру:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \ Installed Components
Кожен ключ з цієї гілки може містити параметри:
Version - текстове представлення версії, де елементи розділені комами.
StubPath - командний рядок.
При вході користувача в систему, Windows поелементно звіряє вміст гілок HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \ Installed Components і HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Active Setup \ Installed Components. Якщо зазначений GUID з куща HKLM відсутній в HKCU, або параметр Version в HKLM вище параметра Version в HKCU, то для даного GUID виконується команда в параметрі StubPath, де вказано шлях до виконуваного файлу троянської програми.
Троянська програма кожен раз видаляє свій ідентифікатор з гілки реєстру HKEY_CURRENT_USER, в результаті чого вона виконується при кожному вході користувача в систему.
Деструктивні дії
Намагається вкрасти гроші користувача, постійно відкриваючи в Internet браузері сторінки фішингових сайтів. На цих сайтах, у користувача намагаються отримати дані, які відкриють доступ до його акаунтів і банківських рахунків. Для цього використовуються різні психологічні прийоми і обман, наприклад, пропонується купити популярне програмне забезпечення за дуже низькою ціною, для чого вимагають вказати номер і cvv2 кредитної картки.
