# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Описание вируса Trojan-PSW.Win32.LdPinch.sf - тот самый "ICQ вирус"

## Зайцев Олег

Сегодня во многих Интернет-источниках прошла информация о эпидемии ICQ вируса. Для внесения ясности вот подробная информация о вирусе.
Файл имеет имя chipes.exe, размер 22308 байта (препарируемый образец пойман разработчиками VBA). Файл имеет признаки защиты от сигнатурного анализа - он обработан Pe Patch и MEW. Под всем этим скрывается троян, а именно - Trojan-PSW.Win32.LdPinch.sf по классификации лаборатории Касперского.
Вирус никак не проявлет своего запуска, поведение - типичное для пинча - собирает пароли и отправляет их создателям. В данном случае передача паролей идет на адрес хттп://botse.net/images/gate/mail3.php по методу POST, заголовок:



> [email protected]&b=Passes from Pinch 2(OLEG-VPC)&d=pass.bin&c= .....


на месте ..... - добытые пароли. Формат сообщения абсолютно типичен для пинча, в скобках указано имя тестового ПК, на котором проводилось исследование
Вирус детектируется эвристиком AVZ, т.к. обладает руткит-механизмом для маскировки. Маскировка достигается за счет перехвата функции ZwQuerySystemInformation, которая ведется на уровне ядра драйвером system32\drivers\SYSpnch.sys 

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
   SDT = 80559B80
   KiST = 804E2D20 (284)
*Функция ZwQuerySystemInformation (AD) перехвачена (8057CC27->FCB3E300), перехватчик C:\WINDOWS\system32\drivers\SYSpnch.sys
*



За счет руткита обнаружение процесса данного трояна прир помощи стандартных средств невозможно. 

*Лечение*
Лечение придполагает удаление данной троянской программы, и о*бязательную замену всех паролей*, причем чем быстрее произойдет их замена, тем лучше. Удаление предполагает следующие шаги: 
1. Пролечить ПК при помощи AVZ с включенным противодействие руткитам 
2. Удалить файл system32\drivers\SYSpnch.sys 3. В списке процессов AVZ найти троянскую программу - ее найдет эвристик AVZ, указав в ходе противодействия руткиту на то, что процесс ... маскируется от обнаружения

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------

