Trojan-PSW.Win32.Coced.220

Jest to ko艅 troja艅ski z rodziny trojan贸w kradn膮cych has艂a u偶ytkownik贸w. Jego celem jest kradzie偶 poufnych danych. Ma posta膰 pliku PE EXE o rozmiarze 12 295 bajt贸w. Powsta艂 w j臋zyku programowania Visual C++.

Instalacja

Po uruchomieniu trojan kopiuje sw贸j plik wykonywalny do foldera systemowego:

%System%mswinrun.exe

Trojan rozpakowuje r贸wnie偶 ze swojego cia艂a nast臋puj膮cy plik:

%Temp%Naebi220.exe

Funkcje szkodnika

Szkodnik zmienia warto艣ci nast臋puj膮cych kluczy systemu rejestru:

[HKCUSoftwareMirabilisICQAgentAppsRun]
"Enable" = "yes"
"Path" = "(艣cie偶ka do pliku wykonywalnego)"
"Startup" = ""
"Parameters" = ""

[HKCUSoftwareMirabilisICQAgent]
"Launch Warning" = "No"

Trojan przechwytuje warto艣ci parametr贸w nast臋puj膮cych podkluczy rejestru:

[HKCUSoftwareMirabilisICQOwners]

Trojan przechwytuje r贸wnie偶 informacje o po艂膮czeniach modemowych wykorzystywanych przez system w celu uzyskania dost臋pu do Internetu. Przechwytuje r贸wnie偶 has艂a do po艂膮cze艅 modemowych przez wykorzystanie WNetEnumCachedPasswords.

Je艣li na zaatakowanej maszynie jest zainstalowany CuteFTP, trojan b臋dzie przechwytywa艂 zawarto艣膰 nast臋puj膮cego pliku:

C:Program FilesCuteFtpTree.dat

Trojan przesy艂a zebrane dane na adres e-mail zdalnego szkodliwego u偶ytkownika. Trojan wykorzystuje mail.computer.com w celu wysy艂ania wiadomo艣ci wychodz膮cych.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia oryginalnego procesu trojana.
  2. Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  3. Usu艅 nast臋puj膮ce pliki:
    %Temp%Naebi220.exe
    %System%mswinrun.exe
    
  4. Przywr贸膰 oryginalne warto艣ci kluczy rejestru:

    [HKCUSoftwareMirabilisICQAgentAppsRun]
    [HKCUSoftwareMirabilisICQAgent]
    [HKCUSoftwareMirabilisICQOwners]

  5. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).
Trojan.PSW.Coced.220 (Kaspersky Lab), IRC/Pws.gen (McAfee),   Trojan Horse (Symantec),   Trojan.PWS.Coced.220 (Doctor Web),   Troj/Naebi-220 (Sophos),   PWS:Win32/Coced.2_20 (RAV),   TROJ_PSW.COCED.A (Trend Micro),   TR/Coced (H+BEDV),   W32/Trojan.Coced.220 (FRISK),   Win32:Trojan-gen. (ALWIL),   Trojan.Coced.220 (SOFTWIN),   Trojan.PSW.Coced.220 (ClamAV),   Trj/Coced.220 (Panda)