Detect date
11/01/2002
Класс
Trojan-PSW
Платформа
Win32

Родительский класс: TrojWare

Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.

Класс: Trojan-PSW

Предназначены для кражи пользовательских аккаунтов (логин и пароль) с пораженных компьютеров. PSW – аббревиатура от Password Stealing Ware («ПО для кражи паролей»). При запуске PSW-троянцы ищут необходимую информацию в системных файлах, хранящих различную конфиденциальную информацию, или реестре. В случае успешного поиска программа отсылает найденные данные «хозяину». Для передачи данных могут быть использованы электронная почта, ftp, web (посредством указания данных в запросе) и другие способы. Некоторые троянцы данного типа воруют регистрационную информацию к различному программному обеспечению. Программы, занимающиеся кражей учетных записей пользователей систем интернет-банкинга, интернет-пейджинга и онлайн-игр, в силу их многочисленности, выделены в отдельные классы: Trojan Banker, Trojan IM и Trojan GameThief соответственно.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Technical Details

Троянская программа, предназначенная для похищения конфиденциальной информации пользователя. Предназначена для кражи паролей. Является приложением Windows (PE EXE-файл). Имеет размер 9728 байт. Написана на Visual C++.

Payload

Троянец изменяет значения следующих ключей реестра:

[HKCUSoftwareMirabilisICQAgentAppsICQ]
"Enable" = "yes"
"Path" = "<путь к исполняемому файлу трояна>"
"Startup" = ""
"Parameters" = ""

[HKCUSoftwareMirabilisICQAgent]
"Launch Warning" = "No"

При помощи функции «WNetEnumCachedPasswords» вирус похищает сведения о существующих в системе модемных интернет-соединениях, а также пароли к ним.

Похищенная информация отправляется на электронный адрес злоумышленника:

lenin*****@usa.net

В качестве сервера для отсылки почты используется mail.compuserve.com

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметры из ключей реестра:

    [HKCUSoftwareMirabilisICQAgentAppsICQ]
    "Enable" = "yes"
    "Path" = "<путь к исполняемому файлу трояна>"
    "Startup" = ""
    "Parameters" = ""

    [HKCUSoftwareMirabilisICQAgent]
    "Launch Warning" = "No"

  4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Kaspersky IT Security Calculator:
Оцените ваш профиль кибербезопасности
Узнать больше
Встречай новый Kaspersky!
Каждая минута твоей онлайн-жизни заслуживает топовой защиты.
Узнать больше
Confirm changes?
Your message has been sent successfully.