Родительский класс: TrojWare
Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.Класс: Trojan-PSW
Предназначены для кражи пользовательских аккаунтов (логин и пароль) с пораженных компьютеров. PSW – аббревиатура от Password Stealing Ware («ПО для кражи паролей»). При запуске PSW-троянцы ищут необходимую информацию в системных файлах, хранящих различную конфиденциальную информацию, или реестре. В случае успешного поиска программа отсылает найденные данные «хозяину». Для передачи данных могут быть использованы электронная почта, ftp, web (посредством указания данных в запросе) и другие способы. Некоторые троянцы данного типа воруют регистрационную информацию к различному программному обеспечению. Программы, занимающиеся кражей учетных записей пользователей систем интернет-банкинга, интернет-пейджинга и онлайн-игр, в силу их многочисленности, выделены в отдельные классы: Trojan Banker, Trojan IM и Trojan GameThief соответственно.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
Троянская программа, предназначенная для похищения конфиденциальной информации пользователя. Предназначена для кражи паролей. Является приложением Windows (PE EXE-файл). Имеет размер 9728 байт. Написана на Visual C++.Payload
Троянец изменяет значения следующих ключей реестра:
[HKCUSoftwareMirabilisICQAgentAppsICQ]
"Enable" = "yes"
"Path" = "<путь к исполняемому файлу трояна>"
"Startup" = ""
"Parameters" = ""
[HKCUSoftwareMirabilisICQAgent]
"Launch Warning" = "No"
При помощи функции «WNetEnumCachedPasswords» вирус похищает сведения о существующих в системе модемных интернет-соединениях, а также пароли к ним.
Похищенная информация отправляется на электронный адрес злоумышленника:
lenin*****@usa.net
В качестве сервера для отсылки почты используется mail.compuserve.com
Removal instructions
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры из ключей реестра:
[HKCUSoftwareMirabilisICQAgentAppsICQ]
"Enable" = "yes"
"Path" = "<путь к исполняемому файлу трояна>"
"Startup" = ""
"Parameters" = ""[HKCUSoftwareMirabilisICQAgent]
"Launch Warning" = "No" - Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com