Программа, относящаяся к семейству троянов, похищающих конфиденциальную информацию.
Инсталляция
После запуска троянец копирует свой исполняемый файл в системную папку Windows:
%System%\msdll32.exe
Деструктивная активность
Вирус изменяет значения следующих ключей реестра:
[HKCU\Software\Mirabilis\ICQ\Agent\Apps\ICQ] "Enable" = "yes" "Path" = "<путь к исполняемому файлу трояна>" "Startup" = "" "Parameters" = "" [HKCU\Software\Mirabilis\ICQ\Agent] "Launch Warning" = "No"
Похищаются значения параметров подключей ключа реестра:
[HKCU\Software\Mirabilis\ICQ\Owners]
С помощью функции WNetEnumCachedPasswords собираются сведения о существующих в системе модемных соединениях для доступа в Интернет, а также о паролях к ним.
Похищенная информация отправляется трояном на электронный адрес злоумышленника — lenin****@usa.net. В качестве сервера для отсылки почты используется mail.compuserve.com.
Другие названия
Trojan-PSW.Win32.Coced.215 («Лаборатория Касперского») также известен как: Trojan.PSW.Coced.215 («Лаборатория Касперского»), IRC/Pws.gen (McAfee), PWSteal.Trojan (Symantec), Trojan.PWS.Coced.215 (Doctor Web), Troj/Coced (Sophos), PWS:Win32/Coced.2_15 (RAV), TROJ_NBI.215 (Trend Micro), TR/Coced-215 (H+BEDV), W32/Trojan.Coced.215 (FRISK), Win95:Lenin (ALWIL), Trojan.Coced.215 (SOFTWIN), Trojan.PSW.Coced.215 (ClamAV), Trj/Coced.215 (Panda), Naebi.2_15b (Eset)
Но доступ к знаниям открыт для всех