Trojan-PSW.Win32.Coced.229.b

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-PSW.Win32.Coced.229.b Троянская программа, которая похищает конфиденциальную информацию пользователя и сообщает ее злоумышленнику. Является приложением Windows (PE-EXE файл). Имеет размер �11 776 байт (ядро), данный троянец создается при помощи программы конструктора, разные образцы могут иметь разный размер. Упакована при помощью AsPack. Распакованный размер больше оригинального размера на 6 КБ. Написана на Visual C++ & MFC.

Инсталляция

После запуска троянец копирует свой исполняемый файл в системный каталог Windows: 

%System%\msgsvr32.exe

Также троянец может добавлять ссылку на свой исполняемый файл в ключи автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

Имена добавляемых параметров задаются в программе конструкторе и могут меняться.

Деструктивная активность

Троянец изменяет значения следующих ключей реестра: 

[HKCU\Software\Mirabilis\ICQ\Agent\Apps\Run]
"Enable"="yes"
"Path"=<путь_к_исполняемому_файлу_троянwа>
"Startup"=""
"Parameters"=""

[HKCU\Software\Mirabilis\ICQ\Agent]
"Launch Warning"="No"

При запуске троянец может извлекать из своего тела файл во временную папку и запускать его. Содержимое и имя извлекаемого файла задается в программе конструкторе при создании троянца и для разных образцов может быть разным. Троянец получает из системного реестра путь к базам "Mirabilis ICQ" и похищает содержимое файлов с расширением: 

.dat

Похищает сведения о существующих в системе модемных соединениях для доступа к Интернет, а также пароли к ним с помощью функции "WNetEnumCachedPasswords". Далее троянец похищает содержимое файла: 

C:\Progra~1\CuteFtp\Tree.dat

После чего похищает содержимое файлов: 

patch.ini
nssx.dll
ent.ini

которые троянец ищет в папках %WinDir%, %System%, а также в папках, на которые указывает переменная %Path%. Похищенные сведения троянец отправляет на электронную почту злоумышленнику. В качестве сервера для отправки исходящей почты используется mail.compuserve.com.

Рекомендации по удалению

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы:
    4. %System%\msgsvr32.exe
  4. Удалить ссылки на файл троянца из ключей автозагрузки системного реестра:
    5. [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  5. Удалить значения ключей реестра:
    6. [HKCU\Software\Mirabilis\ICQ\Agent\Apps\Run]
"Enable"="yes"
"Path"=<путь_к_исполняемому_файлу_троянwа>
"Startup"=""
"Parameters"=""

[HKCU\Software\Mirabilis\ICQ\Agent]
"Launch Warning"="No"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-PSW.Win32.Coced.229.b»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.