Trojan-PSW.Win32.Coced.229.c

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-PSW.Win32.Coced.229.c Троянская программа, которая похищает конфиденциальную информацию пользователя и сообщает ее злоумышленнику. Является приложением Windows (PE-EXE файл). Имеет размер �11 776 байт (ядро), данный троянец создается при помощи программы конструктора, разные образцы могут иметь разный размер. Упакована при помощи AsPack. Распакованный размер больше оригинального размера на 6 КБ. Написана на Visual C++ & MFC.

Инсталляция

После запуска троянец копирует свой исполняемый файл в системный каталог Windows: 

%System%\msgsvr32.exe

Также троянец может добавлять ссылку на свой исполняемый файл в ключи автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

Имена добавляемых параметров задаются в программе конструкторе и могут меняться.

Деструктивная активность

Троянец изменяет значения следующих ключей реестра: 

[HKCU\Software\Mirabilis\ICQ\Agent\Apps\Run]
"Enable"="yes"
"Path"=<путь_к_исполняемому_файлу_троянwа>
"Startup"=""
"Parameters"=""

[HKCU\Software\Mirabilis\ICQ\Agent]
"Launch Warning"="No"

При запуске троянец может извлекать из своего тела файл во временную папку и запускать его. Содержимое и имя извлекаемого файла задается в программе конструкторе при создании троянца и для разных образцов может быть разным. Троянец получает из системного реестра путь к базам "Mirabilis ICQ" и похищает содержимое файлов с расширением: 

.dat

Похищает сведения о существующих в системе модемных соединениях для доступа к Интернет, а также пароли к ним с помощью функции "WNetEnumCachedPasswords". Далее троянец похищает содержимое файла: 

C:\Progra~1\CuteFtp\Tree.dat

Получает список открытых для общего доступа папок из ключа реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan]

Похищает содержимое файлов 

patch.ini
nssx.dll
ent.ini
edialer.ini

которые троянец ищет в папках %WinDir%, %System%, а так же в папках, на которые указывает переменная %Path%. Похищенные сведения отправляет на электронную почту злоумышленнику, в качестве сервера для отправки исходящей почты используется mail.compuserve.com.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы:
    4. %System%\msgsvr32.exe
  4. Удалить ссылки на файл троянца из ключей автозагрузки системного реестра:
    5. [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  5. Удалить значения ключей реестра:
    6. [HKCU\Software\Mirabilis\ICQ\Agent\Apps\Run]
"Enable"="yes"
"Path"=<путь_к_исполняемому_файлу_троянwа>
"Startup"=""
"Parameters"=""

[HKCU\Software\Mirabilis\ICQ\Agent]
"Launch Warning"="No"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-PSW.Win32.Coced.229.c»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.