Trojan-PSW.Win32. Coced.219.b

Троянская программа. Принадлежит к семейству троянов, ворующих конфиденциальную информацию пользователя. Предназначена для кражи паролей. Является приложением Windows (PE EXE-файл). Имеет размер 208901 байт. Написана на Visual C++.

Инсталляция

После запуска вирус копирует свой исполняемый файл в системный каталог Windows:

%System%\msrun.exe
  

Также извлекает из своего тела следующий файл размером 197634 байта:

%Temp%\Winvrfy.exe
  

Деструктивная активность

Троянец изменяет значения ключей системного реестра:

[HKCU\Software\Mirabilis\ICQ\Agent\Apps\ICQ] "Enable" = "yes" "Path" = 
  "<путь к исполняемому файлу трояна>" "Startup" = "" "Parameters" = ""
  
  [HKCU\Software\Mirabilis\ICQ\Agent] "Launch Warning" = "No"
  

Похищает значения следующих параметров подключа реестра:

  [HKCU\Software\Mirabilis\ICQ\Owners]

Используя функцию «WNetEnumCachedPasswords», троянская программа осуществляет кражу сведений о существующих в системе модемных интернет-соединениях (включая пароли).

Собранная информация отправляется на электронный ящик злоумышленника — ***ihvseh@iname.com. Сервером для отсылки почты служит mail.compuserve.com.

Другие названия

Trojan-PSW.Win32.Coced.219.b («Лаборатория Касперского») также известен как: Trojan.PSW.Coced.219.b («Лаборатория Касперского»), IRC/Pws.gen (McAfee), Trojan Horse (Symantec), Trojan.PWS.Coced.219 (Doctor Web), Troj/Rek (Sophos), PWS:Win32/Coced.2_19.B (RAV), TROJ_STEALTH.D (Trend Micro), TR/Coced-219 (H+BEDV), W32/Backdoor.Stealth (FRISK), Win32:Trojan-gen. (ALWIL), Trojan.PSW.Coced.219.B (SOFTWIN), Trojan.PSW.Coced.219.B (ClamAV), Trj/Coced.219 (Panda), Win32/PSW.Coced.219.B (Eset)