Программа, относящаяся к семейству троянов, ворующих пароли пользователя.
Инсталляция
После запуска троянец копирует свой исполняемый файл в системную папку Windows под именем:
%System%\msrun16.exe
Также извлекает из своего тела следующий файл:
%Temp%\Conf219.exe
Деструктивная активность
Троянец изменяет значения следующих ключей реестра:
[HKCU\Software\Mirabilis\ICQ\Agent\Apps\ICQ]
"Enable" = "yes"
"Path" = "<путь к исполняемому файлу трояна>"
"Startup" = ""
"Parameters" = ""
[HKCU\Software\Mirabilis\ICQ\Agent]
"Launch Warning" = "No"
Похищает значения параметров подключей ключа реестра:
[HKCU\Software\Mirabilis\ICQ\Owners]
С помощью функции WNetEnumCachedPasswords данный вирус похищает сведения о существующих в системе модемных соединениях для доступа к сети Интернет, а также пароли к ним. Собранные сведения отправляются на электронный адрес злоумышленника — ***ihvseh@iname.com. В качестве сервера для отправки исходящей почты используется mail.compuserve.com.
Другие названия
Trojan-PSW.Win32.Coced.219 («Лаборатория Касперского») также известен как: Trojan.PSW.Coced.219 («Лаборатория Касперского»), PWS-AI.cfg (McAfee), Trojan Horse (Symantec), Trojan.PWS.Coced.219 (Doctor Web), Troj/Coced (Sophos), PWS:Coced (RAV), TROJ_COCED.219 (Trend Micro), TR/PSW.Coced.220 (H+BEDV), Win95:RedPower (ALWIL), Trojan.Naebi.2.1.9 (SOFTWIN), Trojan.Coced.Family.A (ClamAV), Trj/PSW.Coced.219 (Panda), Naebi.2_19.Config (Eset)
Спойлер: мы раскрываем их любимые трюки