Trojan-PSW.Win32.Coced.229.e

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-PSW.Win32.Coced.229.e Троянская программа, которая похищает конфиденциальную информацию пользователя и сообщает ее злоумышленнику. Является приложением Windows (PE-EXE файл). Имеет размер �99 362 байт. Упакована при помои AsPack, распакованный размер на 6 КБ больше оригинального. Написана на Visual C++ & MFC.

Инсталляция

После запуска троянец копирует свой исполняемый файл в системный каталог Windows: 

%System%\mswin32.exe

Деструктивная активность

Троянец изменяет значения следующих ключей реестра: 

[HKCU\Software\Mirabilis\ICQ\Agent\Apps\ICQ]
"Enable"="yes"
"Path"="<путь_к_исполняемому_файлу_трояна>"
"Startup"=""
"Parameters"=""

[HKCU\Software\Mirabilis\ICQ\Agent]
Launch Warning="No"

Извлекает из своего тела файл: 

%Temp%\price.exe

Троянец получает из системного реестра путь к базам "Mirabilis ICQ" и похищает содержимое файлов с расширением: 

.dat

Похищает сведения о существующих в системе модемных соединениях для доступа к Интернет, а также пароли к ним с помощью функции "WNetEnumCachedPasswords". Далее троянец похищает содержимое файла: 

C:\Progra~1\CuteFtp\Tree.dat

Похищает содержимое файлов с именами: 

patch.ini
nssx.dll
ent.ini
edialer.ini

которые троянец ищет в следующих папках: %System%, %WinDir%, а так же в папках на которые указывает переменная %Path%. Похищенные сведения отправляет на электронную почту злоумышленнику.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы:
    4. %Temp%\price.exe
%System%\mswin32.exe
  4. Удалить значения ключей реестра:
    5. [HKCU\Software\Mirabilis\ICQ\Agent\Apps\Run]
"Enable"="yes"
"Path"=<путь_к_исполняемому_файлу_троянwа>
"Startup"=""
"Parameters"=""

[HKCU\Software\Mirabilis\ICQ\Agent]
"Launch Warning"="No"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-PSW.Win32.Coced.229.e»
Язык
© 2010 ООО «Лаборатория дизайн и тест». Все права защищены.