Программа, относящаяся к семейству троянцев, похищающих конфиденциальную информацию пользователя.
Инсталляция
После запуска троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\mswinrun.exe
Также извлекает из своего тела следующий файл:
%Temp%\Naebi220.exe
Деструктивная активность
Вирус изменяет значения ключей реестра:
[HKCU\Software\Mirabilis\ICQ\Agent\Apps\Run]
"Enable" = "yes"
"Path" = "<путь к исполняемому файлу трояна>"
"Startup" = ""
"Parameters" = ""
[HKCU\Software\Mirabilis\ICQ\Agent]
"Launch Warning" = "No"
Похищает значения параметров из раздела реестра:
[HKCU\Software\Mirabilis\ICQ\Owners]
При помощи функции «WNetEnumCachedPasswords» троянская программа похищает сведения об имеющихся в системе модемных интернет-соединениях (включая пароли).
В случае наличия в ОС программы CuteFTP вирус похищает содержимое следующего файла:
C:\Program Files\CuteFtp\Tree.dat
Всю собранную информацию троянец отправляет на электронный адрес злоумышленника. В качестве сервера для отсылки почты используется mail.compuserve.com
Другие названия
Trojan-PSW.Win32.Coced.220 («Лаборатория Касперского») также известен как: Trojan.PSW.Coced.220 («Лаборатория Касперского»), IRC/Pws.gen (McAfee), Trojan Horse (Symantec), Trojan.PWS.Coced.220 (Doctor Web), Troj/Naebi-220 (Sophos), PWS:Win32/Coced.2_20 (RAV), TROJ_PSW.COCED.A (Trend Micro), TR/Coced (H+BEDV), W32/Trojan.Coced.220 (FRISK), Win32:Trojan-gen. (ALWIL), Trojan.Coced.220 (SOFTWIN), Trojan.PSW.Coced.220 (ClamAV), Trj/Coced.220 (Panda)
В Матрице безопасности выбор очевиден