Trojan-PSW.Win32. Coced.220

Программа, относящаяся к семейству троянцев, похищающих конфиденциальную информацию пользователя. Предназначена для кражи паролей. Является приложением Windows (PE EXE-файл). Имеет размер 12295 байт. Написана на Visual C++.

Инсталляция

После запуска троянец копирует свой исполняемый файл в системный каталог Windows:

%System%\mswinrun.exe

Также извлекает из своего тела следующий файл:

%Temp%\Naebi220.exe

Деструктивная активность

Вирус изменяет значения ключей реестра:

[HKCU\Software\Mirabilis\ICQ\Agent\Apps\Run]
"Enable" = "yes"
"Path" = "<путь к исполняемому файлу трояна>"
"Startup" = ""
"Parameters" = ""

[HKCU\Software\Mirabilis\ICQ\Agent]
"Launch Warning" = "No"

Похищает значения параметров из раздела реестра:

[HKCU\Software\Mirabilis\ICQ\Owners]

При помощи функции «WNetEnumCachedPasswords» троянская программа похищает сведения об имеющихся в системе модемных интернет-соединениях (включая пароли).

В случае наличия в ОС программы CuteFTP вирус похищает содержимое следующего файла:

C:\Program Files\CuteFtp\Tree.dat

Всю собранную информацию троянец отправляет на электронный адрес злоумышленника. В качестве сервера для отсылки почты используется mail.compuserve.com

Другие названия

Trojan-PSW.Win32.Coced.220 («Лаборатория Касперского») также известен как: Trojan.PSW.Coced.220 («Лаборатория Касперского»), IRC/Pws.gen (McAfee), Trojan Horse (Symantec), Trojan.PWS.Coced.220 (Doctor Web), Troj/Naebi-220 (Sophos), PWS:Win32/Coced.2_20 (RAV), TROJ_PSW.COCED.A (Trend Micro), TR/Coced (H+BEDV), W32/Trojan.Coced.220 (FRISK), Win32:Trojan-gen. (ALWIL), Trojan.Coced.220 (SOFTWIN), Trojan.PSW.Coced.220 (ClamAV), Trj/Coced.220 (Panda)