Trojan-PSW.Win32.Coced.227.a
Материал из Total Malware Info
Trojan-PSW.Win32.Coced.227.a Троянская программа, которая похищает конфиденциальную информацию пользователя и сообщает ее злоумышленнику. Является приложением Windows (PE-EXE файл). Имеет размер �11 776 байт (ядро), данный троянец создается при помощи программы конструктора, разные образцы могут иметь разный размер. Упакована при помощи AsPack. Распакованный размер больше оригинального размера на 6 КБ. Написана на Visual C++ & MFC.
Инсталляция
После запуска троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\sysmsg32.exe
Деструктивная активность
Изменяет значения следующих ключей реестра:
[HKCU\Software\Mirabilis\ICQ\Agent\Apps\Run] "Enable"="yes" "Path"=<путь_к_исполняемому_файлу_троянца> "Startup"="" "Parameters"="" [HKCU\Software\Mirabilis\ICQ\Agent] "Launch Warning"="No"
При запуске троянец может извлекать из своего тела файл во временную папку и запускать его. Содержимое и имя извлекаемого файла задается в программе конструкторе при создании троянца и для разных образцов может быть разным. Троянец похищает из системного реестра параметры учетных записей "Mirabilis ICQ". Похищает сведения о существующих в системе модемных соединениях для доступа к Интернет, а также пароли к ним с помощью функции "WNetEnumCachedPasswords". Также похищает содержимое файла:
C:\Progra~1\CuteFtp\Tree.dat
После чего похищенные сведения троянец отправляет на электронную почту злоумышленнику, в качестве сервера для отправки исходящей почты используется mail.compuserve.com.
Рекомендации по удалению
- При помощи «Диспетчера задач» завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл:
- Удалить значения параметров реестра:
%System%\sysmsg32.exe
[HKCU\Software\Mirabilis\ICQ\Agent\Apps\Run] "Enable"="yes" "Path"=<путь_к_исполняемому_файлу_троянца> "Startup"="" "Parameters"="" [HKCU\Software\Mirabilis\ICQ\Agent] "Launch Warning"="No"
