Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (-PE EXE-файл)-.
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 35328 байт. Написана на С++.
Инсталляция
После активации троянец копирует свой исполняемый файл во временный каталог текущего пользователя под именем "MSFW.exe":
%Temp%\MSFW.exeИ устанавливает атрибуты для файла "системный", "скрытый".
Для автоматического запуска при следующем старте системы троянец создает ссылки на свой исполняемый файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Firewall 2.9"="%Temp%\\MSFW.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Firewall 2.9"="%Temp%\\MSFW.exe"
Распространение
Червь копирует свое тело на все доступные для записи съемные диски, подключаемые к зараженному компьютеру. Копия червя создается под следующим именем:
<имя зараженного съемного диска>:\Где\ \ wo3.exe
Вместе со своим исполняемым файлом троянец помещает файл "Desktop.ini", который содержит следующие строки:
[.ShellClassInfo]Также троянец помещает в корневой каталог съемного диска файл:
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
<имя зараженного съемного диска>:\Autorun.infФайл содержит следующие строки, которые перемежаются "мусорными" строками:
[autorun]Это позволяет троянцу запускаться каждый раз, когда пользователь открывает зараженный съемный диск при помощи программы "Проводник". Файлы создаются с атрибутом "скрытый", "системный", "только для чтения".
open=\ \ wo3.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=\ \ wo3.exe
shell\open\default=1
name="doc3">
Деструктивная активность
После запуска троянец создает уникальный идентификатор присутствия в системе с именем:
Jre5hjk3QpCT0swo3Троянец выполняет подключение к одному из следующих IRC серверов:
swo***sgod.infoИспользуя для подключения следующие логин и пароль:
swo***bnc.cz
swo***nen.cc
VirUsИмя на канале формируется следующим образом:
VrX
{NOVY}[Где "][ ]
Троянец может выполнять различные команды, например, такие как обновление, загрузка файлов, запуск и завершение процессов, регистрация в системе, удаление своего тела.
Также троянец создает файл во временно каталоге текущего пользователя:
sWo_log_где.tmp
Файл содержит строку:
website=1