Сообщения
Признаки:
При старте создает следующие файлы:
* %UserProfile%\Local Settings\Temp\[RANDOM FOLDER NAME].tmp\Disk1\data1.cab
* %UserProfile%\Local Settings\Temp\[RANDOM FOLDER NAME].tmp\Disk1\data1.hdr
* %UserProfile%\Local Settings\Temp\[RANDOM FOLDER NAME].tmp\Disk1\data2.cab
* %UserProfile%\Local Settings\Temp\[RANDOM FOLDER NAME].tmp\Disk1\ikernel.ex_
* %UserProfile%\Local Settings\Temp\[RANDOM FOLDER NAME].tmp\Disk1\layout.bin
* %UserProfile%\Local Settings\Temp\[RANDOM FOLDER NAME].tmp\Disk1\Setup.exe
* %UserProfile%\Local Settings\Temp\[RANDOM FOLDER NAME].tmp\Disk1\Setup.ini
* %UserProfile%\Local Settings\Temp\[RANDOM FOLDER NAME].tmp\Disk1\setup.inx
* C:\Documents and Settings\All Users\Start Menu\Programs\Tupsoft TupInsight\Console.lnk
* C:\Documents and Settings\All Users\Start Menu\Programs\Tupsoft TupInsight\User Guide.lnk
* %ProgramFiles%\WinPcap\daemon_mgm.exe
* %ProgramFiles%\WinPcap\INSTALL.LOG
* %ProgramFiles%\WinPcap\npf_mgm.exe
* %ProgramFiles%\Tupsoft\TupInsight\Console\ACM.exe
* %ProgramFiles%\Tupsoft\TupInsight\Console\ACM.INI
* %ProgramFiles%\Tupsoft\TupInsight\Console\CommClient.dll
* %ProgramFiles%\Tupsoft\TupInsight\Console\Console.ldb
* %ProgramFiles%\Tupsoft\TupInsight\Console\Console.mdb
* %ProgramFiles%\Tupsoft\TupInsight\Console\DbBak\DbBak_[DATE]
* %ProgramFiles%\Tupsoft\TupInsight\Console\DbBak\DbBak_[DATE]
* %ProgramFiles%\Tupsoft\TupInsight\Console\FileTranClient.dll
* %ProgramFiles%\Tupsoft\TupInsight\Console\RAClient.dll
* %ProgramFiles%\Tupsoft\TupInsight\Console\Tips.ini
* %ProgramFiles%\Tupsoft\TupInsight\Console\TupInsight.chm
* %ProgramFiles%\Tupsoft\TupInsight\Engine\CommServer.dll
* %ProgramFiles%\Tupsoft\TupInsight\Engine\Data.ldb
* %ProgramFiles%\Tupsoft\TupInsight\Engine\Data.mdb
* %ProgramFiles%\Tupsoft\TupInsight\Engine\Engine.ini
* %ProgramFiles%\Tupsoft\TupInsight\Engine\Engine.ldb
* %ProgramFiles%\Tupsoft\TupInsight\Engine\Engine.mdb
* %ProgramFiles%\Tupsoft\TupInsight\Engine\FileLib.dll
* %ProgramFiles%\Tupsoft\TupInsight\Engine\FileTranServer.dll
* %ProgramFiles%\Tupsoft\TupInsight\Engine\Ftp.dll
* %ProgramFiles%\Tupsoft\TupInsight\Engine\Http.dll
* %ProgramFiles%\Tupsoft\TupInsight\Engine\Local.ini
* %ProgramFiles%\Tupsoft\TupInsight\Engine\log\TupInsight.log
* %ProgramFiles%\Tupsoft\TupInsight\Engine\PacketCap.dll
* %ProgramFiles%\Tupsoft\TupInsight\Engine\PopMail.dll
* %ProgramFiles%\Tupsoft\TupInsight\Engine\PortMonitor.dll
* %ProgramFiles%\Tupsoft\TupInsight\Engine\RAClient.dll
* %ProgramFiles%\Tupsoft\TupInsight\Engine\RAServer.exe
* %ProgramFiles%\Tupsoft\TupInsight\Engine\TupInsight.exe
* %ProgramFiles%\Tupsoft\TupInsight\Engine\TupInsightService.exe
* %ProgramFiles%\Tupsoft\TupInsight\Engine\zlib.dll
* %System%\Microsoft\Protect\S-1-5-18\User\5b0a07e4-e65a-411f-8685-ec62ce9d0efa
* %System%\WinWsExt.ini
* %Windir%\Temp\[RANDOM FILE NAME].tmp
(Примечание: %ProgramFiles% - директория, куда по умолчанию устанавливаются приложения, %UserProfile% - директория, содержащая системные данные текущего пользователя, %System% - системная директория Windows)
Создает в реестре следующие подключи:
* HKEY_CLASSES_ROOT\WsSysSet
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WsSysSet
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WsSysSet\WsSysInfoExt
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{89CA9704-64BD-4620-8BB3-CA3F4C937034}
* HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Tupsoft TupInsight
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinPcapInst
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TUPINSIGHTCAPTUREENGINE
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TUPINSIGHTCAPTUREENGINE
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TUPINSIGHTCAPTUREENGINE
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TupInsightCaptureEngine
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TupInsightCaptureEngine
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TupInsightCaptureEngine
Регистрирует себя как системный сервис с отображаемым именем "TupInsightCaptureEngine", описанием "Network monitoring and management", и путем к исполняемому файлу "C:\Program Files\Tupsoft\TupInsight\Engine\TupInsightService.exe".
ЗАЩИТА:
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Найти и остановить сервис, созданный вредоносной программой.
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие:
Шпионская программа для платформы Windows. Состоит из двух компонентов: движок мониторинга и ведения журнала, и консоль для удаленного получения данных.
Программа позволяет собирать следующую информацию:
* Список посещенных веб-сайтов
* Сессии чатов
* Список переданных файлов
* Полученные и отправленные электронные письма
* Список запускавшихся игр
Имя программы: TupInsight, версия: 3, разработчик: Tup Software Ltd. (tupsoft.com).
Программа должна быть загружена пользователем и установлена вручную.
Безопасность в интернете, то что должен знать каждый человек у которого есть компьютер! Информация будет полезна для администраторов, занимающихся обеспечением безопасности сетей, для программистов, стремящихся к созданию защищенных приложений, а также для всех тех, кто интересуется вопросами сетевой защиты.
0 коментарии:
Оставить коментарий