Trojan-PSW.Win32.Coced.220

Материал из Total Malware Info

Trojan-PSW.Win32.Coced.220 Троянская программа, которая предназначена для похищения конфиденциальной информации пользователя и отправки ее злоумышленнику. Программа является приложением Windows (PE EXE-файл). Размер файла 12 295 байт. Язык написания С++ & MFC.

Инсталляция

После запуска троянец копирует свой исполняемый файл в системную папку Windows с именем:

%System%\mswinrun.exe (Размер файла 12 288 байт, детектируется Антивирусом Касперского как Trojan-PSW.Win32.Coced.220)

Деструктивная активность

Троянец изменяет значения следующих ключей реестра:

[HKCU\Software\Mirabilis\ICQ\Agent\Apps\Run]
"Enable"="yes"
"Path"="<путь к исполняемому файлу трояна>"
"Startup"=""
"Parameters"=""

[HKCU\Software\Mirabilis\ICQ\Agent]
"Launch Warning"="No"

Затем троянец похищает значения параметров из раздела реестра:

[HKCU\Software\Mirabilis\ICQ\Owners]

Троянец извлекает и запускает из своего тела файл:

%Temp%\Naebi220.exe (не детектируется Антивирусом Касперского как вредоносная программа).

Так же троянец похищает сведения о существующих в системе модемных соединениях для доступа к сети Интернет и пароли к ним, с помощью функции WNetEnumCachedPasswords. При наличии в системе программы CuteFTP, троянец похищает содержимое файла:

C:\Program Files\CuteFtp\Tree.dat

Похищенные сведения отправляются на электронную почту злоумышленнику. Для отправки исходящей почты используется почтовый сервер - mail.compuserve.com.

Рекомендации по удалению

1. При помощи «Диспетчера задач» завершить троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить файлы:

	%Temp%\Naebi220.exe
	%System%\mswinrun.exe

4. Восстановить исходные значения разделов реестра:

 [HKCU\Software\Mirabilis\ICQ\Agent\Apps\Run]
[HKCU\Software\Mirabilis\ICQ\Agent]
[HKCU\Software\Mirabilis\ICQ\Owners]