Trojan-PSW.Win32.Sinowal.fz

Материал из Total Malware Info

Trojan-PSW.Win32.Sinowal.fz Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Является приложением Windows (PE-EXE файл). Имеет размер 81536 байт. Упакована неизвестным упаковщиком, распакованный размер 28 к.б.

Инсталляция

Извлекает из своего тела файл:

%Temp%\clean_<временное имя>.dll – 28160 байт, не определяется как вредоносный объект.

Создает службу с именем "ldrsvc", которая запускает исполняемый файл трояна при каждой последующей загрузке Windows.

Деструктивная активность

Внедряет свой код в следующий процесс:

explorer.exe

Скачивает файлы по следующим ссылкам:

http://ano*****com/ld/nos3/ld.php?id=<rnd>&n=no1 – 119673 байт, не определяется как вредоносный объект.
http://ano*****com/ld/nos3/ld.php?id=<rnd>&n=no2 – 112446 байт, не определяется как вредоносный объект.

где rnd – случайная последовательность букв и цифр. Скачанные файлы сохраняются в следующую папку:

%WinDir%\Temp

с именами в следующем формате:

ibm<d>.dll

где d – случайное пятизначное число. После успешной закачки троян загружает скачанные библиотеки и вызывает из каждой из них экспортируемую функцию "InstallService". Создает пустой файл:

%CommonFiles%\Microsoft Shared\Web Folders\$b.$

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи <Диспетчера задач> завершить вредоносный процесс.
2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить все файлы из следующих папок:

%WinDir%\Temp
%Temp%

4. Удалить файл:

%CommonFiles%\Microsoft Shared\Web Folders\$b.$