Троянец RUX.30 ворует интернет-пароли

RUX.30 — троянская программа, написанная на Visual Basic 5.0, является по сути утилитой скрытого администрирования (Backdoor). Позволяет осуществлять доступ на удаленный компьютер и воровать пароли для доступа в интернет. Троянец работоспособен только, если в инфицированной системе установлен объект MSWINSCK.OCX.

При запуске троянец устанавливает себя в системе и остается в памяти компьютера, работая в фоновом режиме как системный сервис. Троянец записывает в системный каталог Windows свой файл с именем «FLYING MARQU.SCR» и затем модифицирует WIN.INI, чтобы загружаться каждый раз при перезагрузке системы.

Троянская программа сообщает хакеру IP-адрес зараженной машины через ICQ. В теле трояна содержится закодированная информация о том, что троянец «слушает» порт 22222, а также ICQ-номер удаленного хакера 27536128.

Поскольку серверная компонента трояна, установленная на инфицированном компьютере, всегда активна, злоумышленник, используя ее клиентскую часть, может в любой момент получить доступ к этому компьютеру и осуществлять на нем следующие действия:

• получать сетевые имена и кешированные пароли (которые использовались пользователем в течение текущего сеанса)
• открывать/закрывать CD-ROM
• получать доступ к системному и Windows каталогам
• осуществлять выход из Windows
• загружать и запускать на компьютере «жертвы» любые программы (например, трояны/вирусы)

В теле троянской программы содержится следующая текстовая строка:

RUX The TIc.K. TARGET LOCKED, OK LETS GO!

Дополнительную информацию о троянах типа Backdoor см. здесь (Backdoor.BO)