Spyware.TupInsight

Новости

Тип:

Spyware Spyware - «шпионское программное обеспечение» - вредоносные программы, выполняющие «шпионские функции» - сбор и отправку информации - паролей, ввода с клавиатуры, конфиденциальных файлов и др. К spyware относят трояны, выполняющие вышеописанные действия, а также обычные приложения, выполняющие несанкционированные действия, например, сбор информации о поведении пользователя в маркетинговых целях. Как правило, скрывают своё присутствие в системе и загружаются автоматически после каждого запуска системы.

Операционная система:

Windows

Уровень:

низкий

Размер:

-

Признаки

При старте создает следующие файлы:

  • %UserProfile%\Local Settings\Temp\[RANDOM FOLDER NAME].tmp\Disk1\data1.cab
  • %UserProfile%\Local Settings\Temp\[RANDOM FOLDER NAME].tmp\Disk1\data1.hdr
  • %UserProfile%\Local Settings\Temp\[RANDOM FOLDER NAME].tmp\Disk1\data2.cab
  • %UserProfile%\Local Settings\Temp\[RANDOM FOLDER NAME].tmp\Disk1\ikernel.ex_
  • %UserProfile%\Local Settings\Temp\[RANDOM FOLDER NAME].tmp\Disk1\layout.bin
  • %UserProfile%\Local Settings\Temp\[RANDOM FOLDER NAME].tmp\Disk1\Setup.exe
  • %UserProfile%\Local Settings\Temp\[RANDOM FOLDER NAME].tmp\Disk1\Setup.ini
  • %UserProfile%\Local Settings\Temp\[RANDOM FOLDER NAME].tmp\Disk1\setup.inx
  • C:\Documents and Settings\All Users\Start Menu\Programs\Tupsoft TupInsight\Console.lnk
  • C:\Documents and Settings\All Users\Start Menu\Programs\Tupsoft TupInsight\User Guide.lnk
  • %ProgramFiles%\WinPcap\daemon_mgm.exe
  • %ProgramFiles%\WinPcap\INSTALL.LOG
  • %ProgramFiles%\WinPcap\npf_mgm.exe
  • %ProgramFiles%\Tupsoft\TupInsight\Console\ACM.exe
  • %ProgramFiles%\Tupsoft\TupInsight\Console\ACM.INI
  • %ProgramFiles%\Tupsoft\TupInsight\Console\CommClient.dll
  • %ProgramFiles%\Tupsoft\TupInsight\Console\Console.ldb
  • %ProgramFiles%\Tupsoft\TupInsight\Console\Console.mdb
  • %ProgramFiles%\Tupsoft\TupInsight\Console\DbBak\DbBak_[DATE]
  • %ProgramFiles%\Tupsoft\TupInsight\Console\DbBak\DbBak_[DATE]
  • %ProgramFiles%\Tupsoft\TupInsight\Console\FileTranClient.dll
  • %ProgramFiles%\Tupsoft\TupInsight\Console\RAClient.dll
  • %ProgramFiles%\Tupsoft\TupInsight\Console\Tips.ini
  • %ProgramFiles%\Tupsoft\TupInsight\Console\TupInsight.chm
  • %ProgramFiles%\Tupsoft\TupInsight\Engine\CommServer.dll
  • %ProgramFiles%\Tupsoft\TupInsight\Engine\Data.ldb
  • %ProgramFiles%\Tupsoft\TupInsight\Engine\Data.mdb
  • %ProgramFiles%\Tupsoft\TupInsight\Engine\Engine.ini
  • %ProgramFiles%\Tupsoft\TupInsight\Engine\Engine.ldb
  • %ProgramFiles%\Tupsoft\TupInsight\Engine\Engine.mdb
  • %ProgramFiles%\Tupsoft\TupInsight\Engine\FileLib.dll
  • %ProgramFiles%\Tupsoft\TupInsight\Engine\FileTranServer.dll
  • %ProgramFiles%\Tupsoft\TupInsight\Engine\Ftp.dll
  • %ProgramFiles%\Tupsoft\TupInsight\Engine\Http.dll
  • %ProgramFiles%\Tupsoft\TupInsight\Engine\Local.ini
  • %ProgramFiles%\Tupsoft\TupInsight\Engine\log\TupInsight.log
  • %ProgramFiles%\Tupsoft\TupInsight\Engine\PacketCap.dll
  • %ProgramFiles%\Tupsoft\TupInsight\Engine\PopMail.dll
  • %ProgramFiles%\Tupsoft\TupInsight\Engine\PortMonitor.dll
  • %ProgramFiles%\Tupsoft\TupInsight\Engine\RAClient.dll
  • %ProgramFiles%\Tupsoft\TupInsight\Engine\RAServer.exe
  • %ProgramFiles%\Tupsoft\TupInsight\Engine\TupInsight.exe
  • %ProgramFiles%\Tupsoft\TupInsight\Engine\TupInsightService.exe
  • %ProgramFiles%\Tupsoft\TupInsight\Engine\zlib.dll
  • %System%\Microsoft\Protect\S-1-5-18\User\5b0a07e4-e65a-411f-8685-ec62ce9d0efa
  • %System%\WinWsExt.ini
  • %Windir%\Temp\[RANDOM FILE NAME].tmp

(Примечание: %ProgramFiles% - директория, куда по умолчанию устанавливаются приложения,%UserProfile% - директория, содержащая системные данные текущего пользователя,%System% - системная директория Windows)

Создает в реестре следующие подключи:

  • HKEY_CLASSES_ROOT\WsSysSet
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WsSysSet
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WsSysSet\WsSysInfoExt
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{89CA9704-64BD-4620-8BB3-CA3F4C937034}
  • HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Tupsoft TupInsight
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinPcapInst
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TUPINSIGHTCAPTUREENGINE
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TUPINSIGHTCAPTUREENGINE
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TUPINSIGHTCAPTUREENGINE
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TupInsightCaptureEngine
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TupInsightCaptureEngine
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TupInsightCaptureEngine

Регистрирует себя как системный сервис с отображаемым именем “TupInsightCaptureEngine”,описанием “Network monitoring and management”, и путем к исполняемому файлу”C:\Program Files\Tupsoft\TupInsight\Engine\TupInsightService.exe”.

ЗАЩИТА

  • Отключить функцию “Восстановление системы” (для Windows ME и XP)
  • Найти и остановить сервис, созданный вредоносной программой.
  • Полностью проверить систему антивирусом с обновлённой базой сигнатур
  • Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Шпионская программа для платформы Windows. Состоит из двух компонентов: движок мониторинга и ведения журнала, и консоль для удаленного получения данных.

Программа позволяет собирать следующую информацию:

  • Список посещенных веб-сайтов
  • Сессии чатов
  • Список переданных файлов
  • Полученные и отправленные электронные письма
  • Список запускавшихся игр

Имя программы: TupInsight, версия: 3, разработчик: Tup Software Ltd. (tupsoft.com).

Программа должна быть загружена пользователем и установлена вручную.