Trojan-PSW.Win32.Coced

Дата обнаружения 11/01/2002
Класс Trojan-PSW
Платформа Win32
Описание

Technical Details

Троянская программа, предназначенная для похищения конфиденциальной информации пользователя. Предназначена для кражи паролей. Является приложением Windows (PE EXE-файл). Имеет размер 9728 байт. Написана на Visual C++.

Payload

Троянец изменяет значения следующих ключей реестра:

[HKCUSoftwareMirabilisICQAgentAppsICQ]
«Enable» = «yes»
«Path» = «<путь к исполняемому файлу трояна>«
«Startup» = «»
«Parameters» = «»

[HKCUSoftwareMirabilisICQAgent]
«Launch Warning» = «No»

При помощи функции «WNetEnumCachedPasswords» вирус похищает сведения о существующих в системе модемных интернет-соединениях, а также пароли к ним.

Похищенная информация отправляется на электронный адрес злоумышленника:

lenin*****@usa.net

В качестве сервера для отсылки почты используется mail.compuserve.com

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметры из ключей реестра:

    [HKCUSoftwareMirabilisICQAgentAppsICQ]
    «Enable» = «yes»
    «Path» = «<путь к исполняемому файлу трояна>«
    «Startup» = «»
    «Parameters» = «»

    [HKCUSoftwareMirabilisICQAgent]
    «Launch Warning» = «No»

  4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).