Trojan-PSW.Win32.Coced.220
Po uruchomieniu trojan kopiuje sw贸j plik wykonywalny do foldera systemowego:
%System%mswinrun.exe
Trojan rozpakowuje r贸wnie偶 ze swojego cia艂a nast臋puj膮cy plik:
%Temp%Naebi220.exe
Szkodnik zmienia warto艣ci nast臋puj膮cych kluczy systemu rejestru:
[HKCUSoftwareMirabilisICQAgent]
"Enable" = "yes"
"Path" = "(艣cie偶ka do pliku wykonywalnego)"
"Startup" = ""
"Parameters" = ""
"Launch Warning" = "No"
Trojan przechwytuje warto艣ci parametr贸w nast臋puj膮cych podkluczy rejestru:
Trojan przechwytuje r贸wnie偶 informacje o po艂膮czeniach modemowych wykorzystywanych przez system w celu uzyskania dost臋pu do Internetu. Przechwytuje r贸wnie偶 has艂a do po艂膮cze艅 modemowych przez wykorzystanie WNetEnumCachedPasswords.
Je艣li na zaatakowanej maszynie jest zainstalowany CuteFTP, trojan b臋dzie przechwytywa艂 zawarto艣膰 nast臋puj膮cego pliku:
C:Program FilesCuteFtpTree.dat
Trojan przesy艂a zebrane dane na adres e-mail zdalnego szkodliwego u偶ytkownika. Trojan wykorzystuje mail.computer.com w celu wysy艂ania wiadomo艣ci wychodz膮cych.
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- U偶yj Mened偶era zada艅 w celu zako艅czenia oryginalnego procesu trojana.
- Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
- Usu艅 nast臋puj膮ce pliki:
%Temp%Naebi220.exe %System%mswinrun.exe
- Przywr贸膰 oryginalne warto艣ci kluczy rejestru:
[HKCUSoftwareMirabilisICQAgentAppsRun]
[HKCUSoftwareMirabilisICQAgent]
[HKCUSoftwareMirabilisICQOwners] - Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).