Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Swisyn.algm
Entdeckt am:10/09/2010
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel bis hoch
Verbreitungspotenzial:Hoch
Schadenspotenzial:Mittel bis hoch
Statische Datei:Ja
Dateigröße:290.816 Bytes
MD5 Prüfsumme:2bde56d8fb2df4438192fb46cd0Cc9c9
IVDF Version:7.10.11.124 - Freitag, 10. September 2010

 General Verbreitungsmethoden:
   • Autorun Dateien
   • Email


Aliases:
   •  Symantec: W32.Imsolk.B@mm
   •  Mcafee: W32/VBMania@MM
   •  Kaspersky: Trojan.Win32.Swisyn.algm
   •  TrendMicro: WORM_MEYLME.B
   •  F-Secure: Worm:W32/VB.MDY
   •  Sophos: W32/Autorun-BHO
   •  Bitdefender: Trojan.Downloader.VB.WQE
   •  Microsoft: Worm:Win32/Visal.B
   •  Panda: Trj/CI.A
   •  PCTools: Email-Worm.Imsolk
   •  Eset: Win32/Visal.A
   •  GData: Trojan.Downloader.VB.WQE
   •  AhnLab: Trojan/Win32.Swisyn
   •  Authentium: W32/VB.CRJ
   •  DrWeb: WIN.WORM.Virus
   •  Ikarus: Trojan.Win32.Swisyn


Betriebsysteme:
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Setzt Sicherheitseinstellungen herunter
   • Terminierung von Sicherheitsprogrammen
   • Lädt schädliche Dateien herunter
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\csrss.exe
   • %SYSDIR%\updates.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.




Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://**********/tryme.iq
Diese wird lokal gespeichert unter: %WINDIR%\tryme.iq Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
   • http://**********/ff.iq
Diese wird lokal gespeichert unter: %WINDIR%\ff.iq Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
   • http://**********/gc.iq
Diese wird lokal gespeichert unter: %WINDIR%\gc.iq Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
   • http://**********/ie.iq
Diese wird lokal gespeichert unter: %WINDIR%\ie.iq Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
   • http://**********/im.iq
Diese wird lokal gespeichert unter: %WINDIR%\im.iq Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
   • http://**********/op.iq
Diese wird lokal gespeichert unter: %WINDIR%\op.iq Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
   • http://**********/m.iq
Diese wird lokal gespeichert unter: %WINDIR%\m.iq Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
   • http://**********/rd.iq
Diese wird lokal gespeichert unter: %WINDIR%\rd.iq Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
   • http://**********/pspv.iq
Diese wird lokal gespeichert unter: %WINDIR%\pspv.iq Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
   • http://**********/SendEmail.iq
Diese wird lokal gespeichert unter: %WINDIR%\SendEmail.ip Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
   • http://**********/hst.iq
Diese wird lokal gespeichert unter: %WINDIR%\hst.ip Der Inhalt wird genutzt um die hosts Datei zu modifizieren.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe %WINDIR%\csrss.exe"



Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Neuer Wert:
   • "EnableLUA"=dword:00000000
   • "PromptOnSecureDesktop"=dword:00000000
   • "EnableVirtualization"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avp.com]
   Alter Wert:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avp.exe]
   Neuer Wert:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avguard.exe]
   Neuer Wert:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avgupsvc.exe]
   Neuer Wert:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avnotify.exe]
   Neuer Wert:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\system.exe]
   Neuer Wert:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\drwebwcl.exe]
   Neuer Wert:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\drwreg.exe]
   Neuer Wert:
   • "Debugger"="%WINDIR%\csrss.exe"

 Email Die Malware nutzt Messaging Application Programming Interface (MAPI) um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


An:
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Betreff:
Folgende:
   • Here you have



Body:

   • Hello:
     
     This is The Document I told you about,you can find it
     Here.http://**********.multimania.co.uk/yahoophoto/PDF_Document21_025542010_pdf.scr
     
     Please check it and reply as soon as possible.



Die Email sieht wie folgt aus:


 Prozess Beendigung  Unterbindet das Ausführen von Prozessen welche einer der folgenden Zeichenketten im Dateinamen enthalten:
   • USB Disk Security; AntiVir WebService; WinDefend; Avast! Antivir; AVG
      Security Toolbar Service; Panda Software Controller; wuauserv;
      McNaiAnn; aswUpdSv; avast! Mail Scanner; avast! Web Scanner;
      AntiVirService; AntiVirSchedulerService; AntiVirFirewallService; NIS;
      MSK80Service; mfefire; McNASvc; Mc0obeSv; McMPFSvc; McProxy; Mc0DS;
      mcmscsvc; mfevtp; Avgfws9; avg9wd; AVGIDSAgent; PAVFNSVR; Gwmsrv;
      PSHost; PSIMSVC; PAVSRV; PavPrSrv; PskSvcRetail; TPSrv; SfCtlCom;
      TmProxy; TMBMServer; Arrakis3; LIVESRV; VSSERV; sdAuxService;
      sdCoreService

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Christoph Baumann am Freitag, 10. September 2010
Die Beschreibung wurde geändert von Christoph Baumann am Montag, 13. September 2010

zurück . . . .