Trojan-PSW.Win32. Coced.215

Программа, относящаяся к семейству троянов, похищающих конфиденциальную информацию.

Программа, относящаяся к семейству троянов, похищающих конфиденциальную информацию. Предназначена для кражи паролей. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на Visual C++.

Инсталляция

После запуска троянец копирует свой исполняемый файл в системную папку Windows:

%System%\msdll32.exe

Деструктивная активность

Вирус изменяет значения следующих ключей реестра:

[HKCU\Software\Mirabilis\ICQ\Agent\Apps\ICQ]
"Enable" = "yes"
"Path" = "<путь к исполняемому файлу трояна>"
"Startup" = ""
"Parameters" = ""

[HKCU\Software\Mirabilis\ICQ\Agent]
"Launch Warning" = "No"

Похищаются значения параметров подключей ключа реестра:

 
[HKCU\Software\Mirabilis\ICQ\Owners]

С помощью функции WNetEnumCachedPasswords собираются сведения о существующих в системе модемных соединениях для доступа в Интернет, а также о паролях к ним.

Похищенная информация отправляется трояном на электронный адрес злоумышленника — lenin****@usa.net. В качестве сервера для отсылки почты используется mail.compuserve.com.

Другие названия

Trojan-PSW.Win32.Coced.215 («Лаборатория Касперского») также известен как: Trojan.PSW.Coced.215 («Лаборатория Касперского»), IRC/Pws.gen (McAfee), PWSteal.Trojan (Symantec), Trojan.PWS.Coced.215 (Doctor Web), Troj/Coced (Sophos), PWS:Win32/Coced.2_15 (RAV), TROJ_NBI.215 (Trend Micro), TR/Coced-215 (H+BEDV), W32/Trojan.Coced.215 (FRISK), Win95:Lenin (ALWIL), Trojan.Coced.215 (SOFTWIN), Trojan.PSW.Coced.215 (ClamAV), Trj/Coced.215 (Panda), Naebi.2_15b (Eset)