Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 35328 байт. Написана на С++.

Инсталляция

После активации троянец копирует свой исполняемый файл во временный каталог текущего пользователя под именем "MSFW.exe":

%Temp%/MSFW.exe

И устанавливает атрибуты для файла "системный", "скрытый".

Для автоматического запуска при следующем старте системы троянец создает ссылки на свой исполняемый файл в ключе автозапуска системного реестра:

[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"Microsoft Firewall 2.9"="%Temp%//MSFW.exe"

[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"Microsoft Firewall 2.9"="%Temp%//MSFW.exe"

Распространение

Червь копирует свое тело на все доступные для записи съемные диски, подключаемые к зараженному компьютеру. Копия червя создается под следующим именем:

имя зараженного съемного диска:/name/name/namewo3.exe

Где name имя зараженного компьютера.

Вместе со своим исполняемым файлом троянец помещает файл "Desktop.ini", который содержит следующие строки:

[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

Также троянец помещает в корневой каталог съемного диска файл:

имя зараженного съемного диска:/Autorun.inf

Файл содержит следующие строки, которые перемежаются "мусорными" строками:

[autorun]
open=name/name/namewo3.exe
icon=%SystemRoot%/system32/SHELL32.dll,4
action=Open folder to view files
shell/open=Open
shell/open/command=name/name/namewo3.exe
shell/open/default=1

Это позволяет троянцу запускаться каждый раз, когда пользователь открывает зараженный съемный диск при помощи программы "Проводник". Файлы создаются с атрибутом "скрытый", "системный", "только для чтения".

Деструктивная активность

После запуска троянец создает уникальный идентификатор присутствия в системе с именем:

Jre5hjk3QpCT0swo3

Троянец выполняет подключение к одному из следующих IRC серверов:

swo***sgod.info
swo***bnc.cz
swo***nen.cc

Используя для подключения следующие логин и пароль:

VirUs
VrX

Имя на канале формируется следующим образом:

{NOVY}[Local][WinVer]rnd1

Где "Local" – идентификатор локализации системы, "WinVer" – версия операционной системы, "rnd1" – произвольная числовая последовательность.

Троянец может выполнять различные команды, например, такие как обновление, загрузка файлов, запуск и завершение процессов, регистрация в системе, удаление своего тела.

Также троянец создает файл во временно каталоге текущего пользователя:

sWo_log_rnd2.tmp

где rnd2 - произвольная числовая последовательность.

Файл содержит строку:

website=1

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить дерево троянских процессов.
2. Удалить параметры в ключах системного реестра:

[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"Microsoft Firewall 2.9"="%Temp%//MSFW.exe"

[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"Microsoft Firewall 2.9"="%Temp%//MSFW.exe"

3. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
4. Удалить файлы:
%Temp%/MSFW.exe


имя зараженного съемного диска:/name/name/namewo3.exe
имя зараженного съемного диска:/name/name/Desktop.ini
имя зараженного съемного диска:/Autorun.inf
sWo_log_rnd2.tmp

5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: securelist.com.

перейти в архив