Троянская программа, предназначенная для похищения конфиденциальной информации пользователя.
Деструктивная активность
Троянец изменяет значения следующих ключей реестра:
[HKCU\Software\Mirabilis\ICQ\Agent\Apps\ICQ]
"Enable" = "yes"
"Path" = "<путь к исполняемому файлу трояна>"
"Startup" = ""
"Parameters" = ""
[HKCU\Software\Mirabilis\ICQ\Agent]
"Launch Warning" = "No"
При помощи функции «WNetEnumCachedPasswords» вирус похищает сведения о существующих в системе модемных интернет-соединениях, а также пароли к ним.
Похищенная информация отправляется на электронный адрес злоумышленника:
lenin*****@usa.net
В качестве сервера для отсылки почты используется mail.compuserve.com
Другие названия
Trojan-PSW.Win32.Coced («Лаборатория Касперского») также известен как: Trojan.PSW.Coced («Лаборатория Касперского»), PWS (McAfee), Trojan Horse (Symantec), Trojan.PWS.Coced.212 (Doctor Web), Troj/Haebu (Sophos), PWS:Win32/Coced (RAV), TROJ_PSW.COCED.A (Trend Micro), TR/PSW.Coced.B (H+BEDV), Win32:Trojan-gen. (ALWIL), Backdoor.WinPC.A (SOFTWIN), Trojan.PSW.Coced.B (ClamAV), Trj/PSW.coced.II (Panda), Naebi.2_12 (Eset)
Спойлер: она начинается с подписки на наш канал