Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan.Win32.Swizzor.b

Trojan.Win32.Swizzor.b

Время детектирования	25 июн 2009 07:13 MSK
Время выпуска обновления	22 июл 2009 18:50 MSK
Описание опубликовано	09 окт 2009 11:14 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Размер зараженных файлов варьируется от 274432 до 749568 байт. Написана на C++.

Инсталляция

После запуска троянец создает ключ системного реестра:

[HKCU\Software\Lite Axis Bashmulti]

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Beepcast"="%Application Data%\downloadsectbows\info real aim.exe"

Деструктивная активность

После запуска троянец запускает процесс браузера Internet Explorer и внедряет в него свой код. В ходе работы троянец многократно создает и удаляет каталоги:

%Program Files%\

Где - случайная последовательность маленьких латинских букв. Например, nauqmoolksimyht, udxpbzfgxgvqozj, kbuqjibbkhehwlm. Кроме того, создает и удаляет пустые ярлыки в избранном браузера Internet Explorer со следующими названиями:

Online Gaming
Computers
Computers\Games
Internet
Internet\Education
Shopping Gifts
Travel
Cool Stuff
Cool Stuff\Fun Stuff
Cool Stuff\Home
Cool Stuff\Online Pharmacy
Adult Items
Adult Entertainment
Adult Entertainment\Dating
Dating
Online Pharmacy
Shopping Gifts
Home

Вместе с этим троянец производит обращение в интернет на сервера с IP-адресами, соответствующими маске:

66.220.17.*

В момент обращения троянец переписывает файл:

%System%\drivers\etc\hosts

При этом мониторинг сетевой активности показывает обращение на адреса:

***301.nb.host192-168-1-2.com
***804.nb.host127-0-0-1.com
***510.nb.host127-0-0-1.com
***23.nb.host127-0-0-1.com
***host127-0-0-1.com

После обращения файл "hosts" восстанавливается. С указанных серверов скачиваются файлы, которые переносятся в специально созданные каталоги из каталога временных файлов интернет:

%Application Data%\Bind army eggs joy\Wait gpl.exe — 749568
байт, детектируется Антивирусом Касперского как Trojan.Win32.Swizzor.b
%Application Data%\Bind army eggs joy\Wait gpl.dat — 40332 байта
%Application Data%\downloadsectbows\info real aim.exe — 507904 байта,
детектируется Антивирусом Касперского как Trojan.Win32.Swizzor.b
%Application Data%\downloadsectbows\mqlvrptr.exe — 749568 байт,
детектируется Антивирусом Касперского как Trojan.Win32.Swizzor.b
%Application Data%\downloadsectbows\mealcitytonsmpeg.exe — 274432 байта,
детектируется Антивирусом Касперского как Trojan.Win32.Swizzor.b
%Application Data%\downloadsectbows\software frag curb.exe — 282624 байта,
детектируется Антивирусом Касперского как Trojan.Win32.Swizzor.aul
%Application Data%\downloadsectbows\0 — 1060 байт

Кроме того, во временном каталоге текущего пользователя сохраняется файл "sta1.exe":

%Temp%\sta1.exe

Данный файл имеет размер 507904 байта и детектируется Антивирусом Касперского как Trojan.Win32.Swizzor.b. Файл идентичен ранее упомянутому файлу:

%Application Data%\downloadsectbows\info real aim.exe

Некоторые образцы, кроме уже перечисленного, удаляют следующие ключи реестра:

HKLM\Software\yoproiwkoawgpdq
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\shsllst
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\abtu
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\eggs joy math type
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Beepcast
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Beepcast
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\internat.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\AutoLoaderAproposClient
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\AutoUpdater
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\msbb
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\onlineeachburn
HKLM\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKLM\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\Use Custom Search URL
HKLM\Software\Microsoft\Internet Explorer\Main\Use Custom Search URL
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKLM\Software\Microsoft\Internet Explorer\Toolbar\{9B35A850-66AB-4c6d-8A66-136ECADCD904}

Так же троянец удаляет исключения для следующих доменных имен:

www.saoe.com
www.tefs.com
www.tdmy.com
www.tdak.com
www.tdko.com
www.scrk.com
www.sckr.com
www.sbvr.com
www.sbnl.com
www.sbnt.com
www.sbjr.com
www.tfil.com
www.wflu.com
www.wfix.com
www.thko.com
www.tjar.com
www.tjaw.com
www.tjdo.com
www.tjem.com
www.tjgo.com
www.sfux.com
www.aavc.com
www.acjp.com
www.ecpm.com
www.ecmh.com
www.wabu.com
www.wabq.com
www.find-quick.com
www.lop.com
www.maximumexperience.com
www.trinityacquisitions.com
www.crap2.com
www.wethere.com
www.wrn.net
www.lop2.com
www.mysearchnow.com
www.allaboutsearching.com
www.amazingautossearch.com
www.asearchforyou.org
www.contexualsearch.com
www.errorfreesearch.com
www.intelesearch.com
www.isearchhere.com
www.iwantosearch.com
www.netsearchsoft.com
www.omegasearch.com
www.opensearch.org
www.prosearching.com
www.searchbee.net
www.searchexe.com
www.searchhotsex.com
www.ifsearch.com
www.mastersearcher.com
www.searchweb2.com
www.search200.com
www.look-today.com
www.patchou.com
www.msgplus.net
www.adintelligence.net
www.revenue.net
www.zone-media.com
www.cc214142.com
www.startnow.com
www.dns-look-up.com
www.cidhelp.com
www.saoe.com
www.tefs.com
www.tdmy.com
www.tdak.com
www.tdko.com
www.scrk.com
www.sckr.com
www.sbvr.com
www.sbnl.com
www.sbnt.com
www.sbjr.com
www.tfil.com
www.wflu.com
www.wfix.com
www.thko.com
www.tjar.com
www.tjaw.com
www.tjdo.com
www.tjem.com
www.tjgo.com
www.sfux.com
www.aavc.com
www.acjp.com
www.ecpm.com
www.ecmh.com
www.wabu.com
www.wabq.com
www.find-quick.com
www.lop.com
www.maximumexperience.com
www.trinityacquisitions.com
www.crap2.com
www.wethere.com
www.wrn.net
www.lop2.com
www.mysearchnow.com
www.allaboutsearching.com
www.amazingautossearch.com
www.asearchforyou.org
www.contexualsearch.com
www.errorfreesearch.com
www.intelesearch.com
www.isearchhere.com
www.iwantosearch.com
www.netsearchsoft.com
www.omegasearch.com
www.opensearch.org
www.prosearching.com
www.searchbee.net
www.searchexe.com
www.searchhotsex.com
www.ifsearch.com
www.mastersearcher.com
www.searchweb2.com
www.search200.com
www.look-today.com
www.patchou.com
www.msgplus.net
www.adintelligence.net
www.revenue.net
www.zone-media.com
www.cc214142.com
www.startnow.com
www.dns-look-up.com
www.cidhelp.com

Зараженный процесс Internet Explorer остается в памяти и повторяет описанную вредоносную активность через случайные промежутки времени. За это время файлына серверах, которые закачивает троянец, могут меняться.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

Удалить ключи системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Beepcast"="%Application Data%\downloadsectbows\info real aim.exe"

[HKCU\Software\Lite Axis Bashmulti]

Удалить файлы и каталоги, созданные троянцем:

%Application Data%\Bind army eggs joy\Wait gpl.exe
%Application Data%\Bind army eggs joy\Wait gpl.dat
%Application Data%\Bind army eggs joy\
%Application Data%\downloadsectbows\info real aim.exe
%Application Data%\downloadsectbows\mqlvrptr.exe
%Application Data%\downloadsectbows\mealcitytonsmpeg.exe
%Application Data%\downloadsectbows\software frag curb.exe
%Application Data%\downloadsectbows\0
%Application Data%\downloadsectbows\
%Temp%\sta1.exe

Очистить каталог Temporary Internet Files, содержащий инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?):
При необходимости восстановить удаленные ключи реестра и исключения для доменных имен.
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan

Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.

К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.

Другие названия

Trojan.Win32.Swizzor.b («Лаборатория Касперского») также известен как:

Trojan: Swizzor!gi (McAfee)
Mal/Swizzor-K (Sophos)
Trj/Swizzor.S (Panda)
W32/SillyBackdoor.B.gen!Eldorado (FPROT)
Trojan:Win32/C2Lop.A (MS(OneCare))
Trojan.Swizzor.based (DrWeb)
Win32/TrojanDownloader.Swizzor.NFP trojan (Nod32)
Trojan.Swizzor.Gen.5 (BitDef7)
Trojan.Swizzor.Gen!Pac.6 (VirusBuster)
Win32:SwizBased-gen [Trj] (AVAST)
Trojan.Win32.Obfuscated (Ikarus)
Downloader.Swizzor (AVG)
TR/Dldr.Swizzor.Gen (AVIRA)
AdWare.Lop (NAV)
NseCheckFile2() returned 0x00010018 (Norman)
Mal_Swizzor-2 (TrendMicro)
Trojan.Swizzor.Gen!Pac.6 (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com