Троянская программа, предназначенная для похищения паролей пользователя.
Является приложением Windows (PE-EXE файл). Имеет размер 57 334 байта. Ничем не упакована.
Деструктивная активность
Инсталляция
Троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\msinet.exe
Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"msinet" = "%System%\msinet.exe"
Деструктивная активность
Троянец получает параметры всех существующих в системе модемных соединений, а также все сохраненные в системе пароли при помощи функции WnetEnumCachedPasswords.
Отчет с паролями отправляется на электронную почту злоумышленникам:
***etbot@mail.ru
***toll@yahoo.com
Другие названия
Trojan-PSW.Win32.Movida («Лаборатория Касперского») также известен как: Trojan.PSW.Movida («Лаборатория Касперского»), PWS-Movida (McAfee), PWSteal.Trojan (Symantec), Trojan.PWS.Movida (Doctor Web), PWS:Win32/Movida.A (RAV), TROJ_PAROLEBI.A (Trend Micro), Win32:Trojan-gen. (ALWIL), PSW.Movida (Grisoft), Trojan.PSW.Movida.A (SOFTWIN), Trj/PSW.Movida (Panda), Win32/PSW.Movida (Eset)