Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл).
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 35328 байт. Написана на С++.
После активации троянец копирует свой исполняемый файл во временный каталог текущего пользователя под именем "MSFW.exe":
%Temp%\MSFW.exeИ устанавливает атрибуты для файла "системный", "скрытый".
Для автоматического запуска при следующем старте системы троянец создает ссылки на свой исполняемый файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Firewall 2.9"="%Temp%\\MSFW.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Firewall 2.9"="%Temp%\\MSFW.exe"
Червь копирует свое тело на все доступные для записи съемные диски, подключаемые к зараженному компьютеру. Копия червя создается под следующим именем:
<имя зараженного съемного диска>:\<name>\<name>\Где <name> имя зараженного компьютера.
<name>wo3.exe
Вместе со своим исполняемым файлом троянец помещает файл "Desktop.ini", который содержит следующие строки:
[.ShellClassInfo]Также троянец помещает в корневой каталог съемного диска файл:
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
<имя зараженного съемного диска>:\Autorun.infФайл содержит следующие строки, которые перемежаются "мусорными" строками:
[autorun]Это позволяет троянцу запускаться каждый раз, когда пользователь открывает зараженный съемный диск при помощи программы "Проводник". Файлы создаются с атрибутом "скрытый", "системный", "только для чтения".
open=<name>\<name>\<name>wo3.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=<name>\<name>\<name>wo3.exe
shell\open\default=1
После запуска троянец создает уникальный идентификатор присутствия в системе с именем:
Jre5hjk3QpCT0swo3Троянец выполняет подключение к одному из следующих IRC серверов:
swo***sgod.infoИспользуя для подключения следующие логин и пароль:
swo***bnc.cz
swo***nen.cc
VirUsИмя на канале формируется следующим образом:
VrX
{NOVY}[<Local>][<WinVer>]<rnd1>Где "<Local>" – идентификатор локализации системы, "<WinVer>" – версия операционной системы, "<rnd1>" – произвольная числовая последовательность.
Троянец может выполнять различные команды, например, такие как обновление, загрузка файлов, запуск и завершение процессов, регистрация в системе, удаление своего тела.
Также троянец создает файл во временно каталоге текущего пользователя:
sWo_log_<rnd2>.tmpгде <rnd2> - произвольная числовая последовательность.
Файл содержит строку:
website=1
Спойлер: она начинается с подписки на наш канал