Trojan.Win32. Swisyn.akvy

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 35328 байт. Написана на С++.

Инсталляция

После активации троянец копирует свой исполняемый файл во временный каталог текущего пользователя под именем "MSFW.exe":

%Temp%\MSFW.exe

И устанавливает атрибуты для файла "системный", "скрытый".

Для автоматического запуска при следующем старте системы троянец создает ссылки на свой исполняемый файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Firewall 2.9"="%Temp%\\MSFW.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Firewall 2.9"="%Temp%\\MSFW.exe"

Распространение

Червь копирует свое тело на все доступные для записи съемные диски, подключаемые к зараженному компьютеру. Копия червя создается под следующим именем:

<имя зараженного съемного диска>:\<name>\<name>\
<name>wo3.exe

Где <name> имя зараженного компьютера.

Вместе со своим исполняемым файлом троянец помещает файл "Desktop.ini", который содержит следующие строки:

[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

Также троянец помещает в корневой каталог съемного диска файл:

<имя зараженного съемного диска>:\Autorun.inf

Файл содержит следующие строки, которые перемежаются "мусорными" строками:

[autorun]
open=<name>\<name>\<name>wo3.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=<name>\<name>\<name>wo3.exe
shell\open\default=1

Это позволяет троянцу запускаться каждый раз, когда пользователь открывает зараженный съемный диск при помощи программы "Проводник". Файлы создаются с атрибутом "скрытый", "системный", "только для чтения".
name="doc3">

Деструктивная активность

После запуска троянец создает уникальный идентификатор присутствия в системе с именем:

Jre5hjk3QpCT0swo3

Троянец выполняет подключение к одному из следующих IRC серверов:

swo***sgod.info
swo***bnc.cz
swo***nen.cc

Используя для подключения следующие логин и пароль:

VirUs
VrX

Имя на канале формируется следующим образом:

{NOVY}[<Local>][<WinVer>]<rnd1>

Где "<Local>" – идентификатор локализации системы, "<WinVer>" – версия операционной системы, "<rnd1>" – произвольная числовая последовательность.

Троянец может выполнять различные команды, например, такие как обновление, загрузка файлов, запуск и завершение процессов, регистрация в системе, удаление своего тела.

Также троянец создает файл во временно каталоге текущего пользователя:

sWo_log_<rnd2>.tmp

где <rnd2> - произвольная числовая последовательность.

Файл содержит строку:

website=1