Троянская программа. Принадлежит к семейству троянов, ворующих конфиденциальную информацию пользователя.
Инсталляция
После запуска вирус копирует свой исполняемый файл в системный каталог Windows:
%System%\msrun.exe
Также извлекает из своего тела следующий файл размером 197634 байта:
%Temp%\Winvrfy.exe
Деструктивная активность
Троянец изменяет значения ключей системного реестра:
[HKCU\Software\Mirabilis\ICQ\Agent\Apps\ICQ] "Enable" = "yes" "Path" = "<путь к исполняемому файлу трояна>" "Startup" = "" "Parameters" = "" [HKCU\Software\Mirabilis\ICQ\Agent] "Launch Warning" = "No"
Похищает значения следующих параметров подключа реестра:
[HKCU\Software\Mirabilis\ICQ\Owners]
Используя функцию «WNetEnumCachedPasswords», троянская программа осуществляет кражу сведений о существующих в системе модемных интернет-соединениях (включая пароли).
Собранная информация отправляется на электронный ящик злоумышленника — ***ihvseh@iname.com. Сервером для отсылки почты служит mail.compuserve.com.
Другие названия
Trojan-PSW.Win32.Coced.219.b («Лаборатория Касперского») также известен как: Trojan.PSW.Coced.219.b («Лаборатория Касперского»), IRC/Pws.gen (McAfee), Trojan Horse (Symantec), Trojan.PWS.Coced.219 (Doctor Web), Troj/Rek (Sophos), PWS:Win32/Coced.2_19.B (RAV), TROJ_STEALTH.D (Trend Micro), TR/Coced-219 (H+BEDV), W32/Backdoor.Stealth (FRISK), Win32:Trojan-gen. (ALWIL), Trojan.PSW.Coced.219.B (SOFTWIN), Trojan.PSW.Coced.219.B (ClamAV), Trj/Coced.219 (Panda), Win32/PSW.Coced.219.B (Eset)
Спойлер: она начинается с подписки на наш канал