Trojan-PSW.Win32.Coced.219.b
Po uruchomieniu trojan kopiuje sw贸j plik wykonywalny do foldera systemowego:
%System%msrun.exe
Trojan wypakowuje r贸wnie偶 ze swojego cia艂a nast臋puj膮cy plik (o rozmiarze 197 634 bajt贸w):
%Temp%Winvrfy.exe
Trojan zmienia warto艣ci nast臋puj膮cych kluczy rejestru systemowego:
"Enable" = "yes"
"Path" = "(艣cie偶ka do pliku wykonywalnego trojana)"
"Startup" = ""
"Parameters" = ""
[HKCUSoftwareMirabilisICQAgent]
"Launch Warning" = "No"
Trojan przechwytuje warto艣ci parametr贸w nast臋puj膮cych podkluczy rejestru:
Trojan zbiera r贸wnie偶 informacje o po艂膮czeniach modemowych wykorzystywanych przez system w celu uzyskania dost臋pu do Internetu. Przechwytuje r贸wnie偶 has艂a przy u偶yciu WNetEnumCachedPasswords.
Szkodnik przesy艂a zebrane dane na adres e-mail zdalnego szkodliwego u偶ytkownika ***ihvseh@iname.com. Trojan wykorzystuje mail.computer.com w celu wysy艂ania wiadomo艣ci wychodz膮cych.
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- U偶yj Mened偶era zada艅 w celu zako艅czenia procesu trojana.
- Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
- Usu艅 nast臋puj膮ce parametry kluczy rejestru systemowego:
[HKCUSoftwareMirabilisICQAgentAppsICQ]
"Enable" = "yes"
"Path" = "(艣cie偶ka do pliku wykonywalnego trojana)"
"Startup" = ""
"Parameters" = ""[HKCUSoftwareMirabilisICQAgent]
"Launch Warning" = "No" - Usu艅 wszystkie pliki stworzone przez trojana:
%Temp%Winvrfy.exe %System%msrun.exe
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).