Trojan-PSW.Win32.Coced.231.b

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-PSW.Win32.Coced.231.b Троянская программа, которая похищает конфиденциальную информацию пользователя и сообщает ее злоумышленнику. Является приложением Windows (PE-EXE файл). Имеет размер 12 288 байт (ядро), данный троянец создается при помощи программы конструктора, разные образцы могут иметь разный размер. Упакована при помощи AsPack. Распакованный размер больше размера оригинального файла на 7 КБ. Написана на Visual C++ & MFC.

Инсталляция

После запуска троянец копирует свой исполняемый файл в системный каталог Windows: 

%System%\mswin32.exe

Также троянец может добавлять ссылку на свой исполняемый файл в ключи автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

Имена добавляемых параметров задаются в программе конструкторе и могут меняться.

Деструктивная активность

Троянец изменяет значения следующих ключей реестра: 

[HKCU\Software\Mirabilis\ICQ\Agent\Apps\Run]
"Enable"="yes"
"Path"=<путь_к_исполняемому_файлу_троянwа>
"Startup"=""
"Parameters"=""

[HKCU\Software\Mirabilis\ICQ\Agent]
"Launch Warning"="No"

При запуске троянец может извлекать из своего тела файл во временную папку и запускать его. Содержимое и имя извлекаемого файла задается в программе конструкторе при создании троянца и для разных образцов может быть разным. Троянец получает из системного реестра путь к базам "Mirabilis ICQ" и похищает содержимое файлов с расширением: 

.dat

Далее троянец похищает содержимое файла: 

C:\Progra~1\CuteFtp\Tree.dat

Похищает содержимое файлов: 

patch.ini
nssx.dll
ent.ini
wcx_ftp.ini

которые троянец ищет в папках %WinDir%, %System%, а так же в папках, на которые указывает переменная %Path%. Также похищает содержимое всех файлов на рабочем столе пользователя с расширением: 

.txt

Получает версию установленной операционной системы. Получает список открытых для общего доступа папок из ключа реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan]

Похищает сведения о существующих в системе модемных соединениях для доступа к Интернет, а также пароли к ним с помощью функции "WNetEnumCachedPasswords". Похищенные сведения отправляет на электронную почту злоумышленнику.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы:
    4. %System%\mswin32.exe
  4. Удалить значения ключей реестра:
    5. [HKCU\Software\Mirabilis\ICQ\Agent\Apps\Run]
"Enable"="yes"
"Path"=<путь_к_исполняемому_файлу_троянwа>
"Startup"=""
"Parameters"=""

[HKCU\Software\Mirabilis\ICQ\Agent]
"Launch Warning"="No"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-PSW.Win32.Coced.231.b»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.