Name:TR/Drop.Sinowal.U
Entdeckt am:13/05/2006
Art:Trojan
Nebenart:Dropper
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Nein
Dateigröße:~70.000 Bytes
VDF Version:6.34.01.76
IVDF Version:6.34.01.77 - Sonntag, 14. Mai 2006

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-PSW.Win32.Sinowal.u
   •  TrendMicro: TSPY_SINOWAL.BR
   •  Eset: Win32/TrojanDropper.Small.NEA
   •  Bitdefender: Trojan.PWS.Sinowal.T

Wurde zuvor wie folgt erkannt:
   •  TR/Dldr.Harnig.BP.3


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien

 Dateien Es werden folgende Dateien erstellt:

%PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Sinowal.D.3

%PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Sinowal.M

%PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00002.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Sinowal.D.32

%PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00003.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Sinowal.N.6

 Email Die Malware verfügt über keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.
Der Absender der Email ist folgender:
   • MS Windows Update <msrobot_donotreply@windowsupdate.com>


Betreff:
Folgende:
   • Achtung! Wichtige Nachrichten von Microsoft Windows Update!



Body:
Der Body der Email ist folgender:

   • Achtung! Wichtige Nachrichten von Microsoft Windows Update!
     
     Sehr geehrte Benutzer Microsoft Windows XP!
     
     Gestern haben unbekannte Hacker den neuen Wurm-Virus eingesetzt. Nachdem er ins system reingreift, wird er von sich selbst nach Ihrer mailadressenliste ausgesendet, und alle Ihren Kontakte werden angesteckt. Nach der Ansteckung fängt das System instabil zu arbeiten, und der Komputer "hängt" genau nach einer Minute nach dem nächsten Hochfahren.
     Um die Benutzer des Systems Microsoft Windows XP zu schützen, haben unsere Sicherheitsspezialisten eine Erneuerung für das System entwickelt.
     
     Sie sollen die an den E-Mail angehängte Datei öffnen damit das System erneut wird und vollständig von neuem Wurm geschützt wird.
     
     Mit freundlichen Grüßen,
     
     Windows Update
     

 Datei Einzelheiten Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Alexander Vukcevic am Dienstag, 30. Mai 2006
Die Beschreibung wurde geändert von Robert Harja Iliescu am Dienstag, 5. September 2006

zurück . . . .