Trojan.Swisyn.Win32

Trojan.Swisyn.Win32 - сімейство шкідливого ПЗ що поєднує функції троянської програми і хробака.

Методи поширення

Поширюється через файлообмінні Web-сайти і соціальні мережі, маскуючись під деякі корисні програми, зломщики програм, генератори серійних кодів і ключів, і т.п. Створює копії свого тіла на всіх доступних на запис мережевих і знімних дисках. При розмноженні через змінні носії хробак копіює себе в папку RECYCLED і створює супутній файл Autorun.inf, який дозволить виконатися копії хробака, якщо на комп'ютері що атакується включений автозапуск. Крім значущих команд файл Autorun.inf містить багато "сміттєвих" рядків - з метою захисту від виявлення антивірусними програмами.

Функціональні можливості

При запуску троянська програма копіює своє тіло під випадковим ім'ям в папку Windows (% System%) і встановлює для нього атрибути "системний" і "прихований", після чого забороняє відображення прихованих файлів і відключає "Диспетчер завдань". Для автоматичного запуску при кожному старті системи, додає посилання на свій файл у ключі автозапуску системного реєстру:

[HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run] 
[HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]

З метою захисту від редагування реєстру, шукає вікна що мають клас RegEdit_RegEdit і закриває їх. Для перевірки своєї присутності в системі, створює унікальний ідентифікатор (mutex), який використовується для запобігання багаторазового запуску троянської програми на одному комп'ютері.

Деструктивні можливості

Краде акаунти що використовуються для авторизації на сервісах мережі Internet, і пересилає їх зловмисникові. Намагається з'єднатися з декількома адресами в мережі Internet для завантаження шкідливих програм.