Trojan-PSW.Win32. Coced.219

Программа, относящаяся к семейству троянов, ворующих пароли пользователя.

Программа, относящаяся к семейству троянов, ворующих пароли пользователя. Предназначена для кражи конфиденциальной информации. Является приложением Windows (PE-EXE файл). Имеет размер 11269 байт. Написана на Visual C++.

Инсталляция

После запуска троянец копирует свой исполняемый файл в системную папку Windows под именем:

%System%\msrun16.exe

Также извлекает из своего тела следующий файл:

%Temp%\Conf219.exe

Деструктивная активность

Троянец изменяет значения следующих ключей реестра:

[HKCU\Software\Mirabilis\ICQ\Agent\Apps\ICQ]
"Enable" = "yes"
"Path" = "<путь к исполняемому файлу трояна>"
"Startup" = ""
"Parameters" = ""

[HKCU\Software\Mirabilis\ICQ\Agent]
"Launch Warning" = "No"

Похищает значения параметров подключей ключа реестра:

[HKCU\Software\Mirabilis\ICQ\Owners]

С помощью функции WNetEnumCachedPasswords данный вирус похищает сведения о существующих в системе модемных соединениях для доступа к сети Интернет, а также пароли к ним. Собранные сведения отправляются на электронный адрес злоумышленника — ***ihvseh@iname.com. В качестве сервера для отправки исходящей почты используется mail.compuserve.com.

Другие названия

Trojan-PSW.Win32.Coced.219 («Лаборатория Касперского») также известен как: Trojan.PSW.Coced.219 («Лаборатория Касперского»), PWS-AI.cfg (McAfee), Trojan Horse (Symantec), Trojan.PWS.Coced.219 (Doctor Web), Troj/Coced (Sophos), PWS:Coced (RAV), TROJ_COCED.219 (Trend Micro), TR/PSW.Coced.220 (H+BEDV), Win95:RedPower (ALWIL), Trojan.Naebi.2.1.9 (SOFTWIN), Trojan.Coced.Family.A (ClamAV), Trj/PSW.Coced.219 (Panda), Naebi.2_19.Config (Eset)