Trojan.Win32.Swisyn.akvy


Описание
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Написана на С++. Размер - 35328 байт.


Инсталляция
После активации троянец копирует свой исполняемый файл во временный каталог текущего пользователя под именем "MSFW.exe":

  • %Temp%\MSFW.exe

И устанавливает атрибуты для файла "системный", "скрытый".

Для автоматического запуска при старте системы троянец создает ссылки на свой исполняемый файл в ключе автозапуска системного реестра:

  • [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "Microsoft Firewall 2.9"="%Temp%\\MSFW.exe"


  • [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "Microsoft Firewall 2.9"="%Temp%\\MSFW.exe"

Распространяется троян на все доступные для записи съемные диски, подключаемые к зараженному компьютеру. Его копия создается под следующим именем:

  • <имя зараженного съемного диска>:\<name>\<name>\
    <name>wo3.exe

<name> - имя зараженного компьютера.

Вместе со своим исполняемым файлом троянец помещает файл "Desktop.ini", который содержит следующие строки:

  • [.ShellClassInfo]
    CLSID={645FF040-5081-101B-9F08-00AA002F954E}

А в корневой каталог съемного диска файл:

  • <имя зараженного съемного диска>:\Autorun.inf

Файл содержит следующие строки, которые позволяют запускаться каждый раз, когда пользователь открывает зараженный съемный диск при помощи программы "Проводник". Файлы создаются с атрибутом "скрытый", "системный", "только для чтения":

  • [autorun]
    open=<name>\<name>\<name>wo3.exe
    icon=%SystemRoot%\system32\SHELL32.dll,4
    action=Open folder to view files
    shell\open=Open
    shell\open\command=<name>\<name>\<name>wo3.exe
    shell\open\default=1

Деструктивная активность
После запуска троянец создает уникальный идентификатор присутствия в системе с именем:

  • Jre5hjk3QpCT0swo3

Троянец выполняет подключение к одному из следующих IRC серверов:

  • swo***sgod.info
    swo***bnc.cz
    swo***nen.cc

Используя для подключения следующие логин и пароль:

  • VirUs
    VrX

Что формирует имя на канале следующим образом:

  • {NOVY}[<Local>][<WinVer>]<rnd1>

"<Local>" – идентификатор локализации системы;
"<WinVer>" – версия операционной системы;
"<rnd1>" – произвольная числовая последовательность.

Троян может выполнять такие команды, как обновление, загрузка файлов, запуск и завершение процессов, регистрация в системе, удаление своего тела.
Еще троян создает файл во временно каталоге текущего пользователя:

  • sWo_log_<rnd2>.tmp

<rnd2> - произвольная числовая последовательность.

Файл содержит строку:

  • website=1

Методы борьбы
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Завершаем в Диспетчере задач троянские процессы
  2. Удаляем параметры в ключах системного реестра:
    • [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
      "Microsoft Firewall 2.9"="%Temp%\\MSFW.exe"
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
      "Microsoft Firewall 2.9"="%Temp%\\MSFW.exe"
  3. Удаляем оригинальный файл троянца (расположение зависит от способа попадания программы на компьютер).
  4. Удаляем файлы:
    • %Temp%\MSFW.exe
      <имя зараженного съемного диска>:\<name>\<name>\<name>wo3.exe
      <имя зараженного съемного диска>:\<name>\<name>\Desktop.ini
      <имя зараженного съемного диска>:\Autorun.inf
      sWo_log_<rnd2>.tmp
  5. Произвести полную проверку компьютера бесплатной антивирусной утилитой Dr.Web CureiT! или Антивирусом Касперского с обновленными антивирусными базами.