Trojan-PSW.Win32. Movida

Троянская программа, предназначенная для похищения паролей пользователя.

Троянская программа, предназначенная для похищения паролей пользователя.

Является приложением Windows (PE-EXE файл). Имеет размер 57 334 байта. Ничем не упакована.

Деструктивная активность

Инсталляция

Троянец копирует свой исполняемый файл в системный каталог Windows:

 

%System%\msinet.exe

Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"msinet" = "%System%\msinet.exe"

Деструктивная активность

Троянец получает параметры всех существующих в системе модемных соединений, а также все сохраненные в системе пароли при помощи функции WnetEnumCachedPasswords.

Отчет с паролями отправляется на электронную почту злоумышленникам:

***etbot@mail.ru
***toll@yahoo.com

Другие названия

Trojan-PSW.Win32.Movida («Лаборатория Касперского») также известен как: Trojan.PSW.Movida («Лаборатория Касперского»), PWS-Movida (McAfee), PWSteal.Trojan (Symantec), Trojan.PWS.Movida (Doctor Web), PWS:Win32/Movida.A (RAV), TROJ_PAROLEBI.A (Trend Micro), Win32:Trojan-gen. (ALWIL), PSW.Movida (Grisoft), Trojan.PSW.Movida.A (SOFTWIN), Trj/PSW.Movida (Panda), Win32/PSW.Movida (Eset)