Trojan-PSW.Win32. Coced.215

Программа, относящаяся к семейству троянов, похищающих конфиденциальную информацию. Предназначена для кражи паролей. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на Visual C++.

Инсталляция

После запуска троянец копирует свой исполняемый файл в системную папку Windows:

  %System%\msdll32.exe
  

Деструктивная активность

Вирус изменяет значения следующих ключей реестра:

  [HKCU\Software\Mirabilis\ICQ\Agent\Apps\ICQ]
  "Enable" = "yes"
  "Path" = "<путь к исполняемому файлу трояна>"
  "Startup" = ""
  "Parameters" = ""
  
  [HKCU\Software\Mirabilis\ICQ\Agent]
  "Launch Warning" = "No"
  

Похищаются значения параметров подключей ключа реестра:

 
  [HKCU\Software\Mirabilis\ICQ\Owners]
  

С помощью функции WNetEnumCachedPasswords собираются сведения о существующих в системе модемных соединениях для доступа в Интернет, а также о паролях к ним.

Похищенная информация отправляется трояном на электронный адрес злоумышленника — lenin****@usa.net. В качестве сервера для отсылки почты используется mail.compuserve.com.

Другие названия

Trojan-PSW.Win32.Coced.215 («Лаборатория Касперского») также известен как: Trojan.PSW.Coced.215 («Лаборатория Касперского»), IRC/Pws.gen (McAfee), PWSteal.Trojan (Symantec), Trojan.PWS.Coced.215 (Doctor Web), Troj/Coced (Sophos), PWS:Win32/Coced.2_15 (RAV), TROJ_NBI.215 (Trend Micro), TR/Coced-215 (H+BEDV), W32/Trojan.Coced.215 (FRISK), Win95:Lenin (ALWIL), Trojan.Coced.215 (SOFTWIN), Trojan.PSW.Coced.215 (ClamAV), Trj/Coced.215 (Panda), Naebi.2_15b (Eset)