CAINABEL151: программа для восстановления паролей имеет свойства троянца

TROJ_CAINABEL151 представляет собой приложение под Windows 9x для восстановления паролей и управления ими. Программа состоит из двух компонентов: серверного и клиентского. С помощью данного приложения удаленный «пользователь», установив у себя клиентскую часть — инсталляционный пакет CAIN151.EXE, способен осуществить дистанционный ограниченный доступ на инфицированную систему (где инсталлирована серверная компонента программы — «Abel») с возможностью находить и изменять пароли без ведома пользователя, что позволяет квалифицировать его как троянскую программу.

Удаленный «пользователь» инсталлирует клиентскую часть троянца — программу Cain v1.51 в директорию Cain, которая по умолчанию создается в Program Files. Затем в эту директорию троянец распаковывает следующие файлы:

CAIN.EXE
ABEL.EXE
UNINSTAL.EXE
MANUAL.RTF
WordlistsWordlist.txt

Троянец создает ярлыки программы (shortcut) в меню Start и регистрирует себя в системном реестре:

HKEY_CURRENT_USERSoftwareBreak-DanceCain

Клиентская часть троянской программы «Cain» имеет графический пользовательский интерфейс, который позволяет удаленному «пользователю» осуществлять на инфицированной машине следующие функции:

• отыскивать и расшифровывать screensaver-пароль, кэшированные пароли, пароли для локального и удаленного доступа
• определять текущего Windows-пользователя и пользователя Microsoft Network
• изменять Windows-пароль
• изменять screen saver пароль
• изменять Microsoft Network пароль
• изменять password caching
• подключать/отключать сетевые диски
• входить в/выходить из сеть(и)
• Log-off/Restart/Shutdown Windows

Серверная компонента троянца «Abel» после выполнения на инфицированной машине выводит предупреждающее сообщение с кнопками «Yes» и «No»:

Заголовок: ABEL
Тело сообщения:

WARNING! When this program is running other users on the network could find your passwords, are you sure you want to proceed?

При клике пользователя на кнопку «Yes», отображается окошко, содержащее следующее:

Title: Abel
PWL file: C:WINDOWSINFECTPC.PWL
Username: INFECT PC

Если это окно минимизировать, то оно появляется в трее (system tray) как значок в виде шестиугольника с синей буквой «A» в центре.

Троянец «сидит» в памяти инфицированного компьютера и слушает TCP-порт 666, ожидая команд от удаленного пользователя. Троянец остается в памяти как процесс, видимый в списке задач под именем «Abel».