Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Swisyn.algm
Entdeckt am:10/09/2010
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel bis hoch
Verbreitungspotenzial:Hoch
Schadenspotenzial:Mittel bis hoch
Statische Datei:Ja
Dateigre:290.816 Bytes
MD5 Prfsumme:2bde56d8fb2df4438192fb46cd0Cc9c9
IVDF Version:7.10.11.124 - Freitag, 10. September 2010

 General Verbreitungsmethoden:
    Autorun Dateien
   • Email


Aliases:
   •  Symantec: W32.Imsolk.B@mm
   •  Mcafee: W32/VBMania@MM
   •  Kaspersky: Trojan.Win32.Swisyn.algm
   •  TrendMicro: WORM_MEYLME.B
   •  F-Secure: Worm:W32/VB.MDY
   •  Sophos: W32/Autorun-BHO
   •  Bitdefender: Trojan.Downloader.VB.WQE
     Microsoft: Worm:Win32/Visal.B
   •  Panda: Trj/CI.A
     PCTools: Email-Worm.Imsolk
   •  Eset: Win32/Visal.A
     GData: Trojan.Downloader.VB.WQE
AhnLab: Trojan/Win32.Swisyn
     Authentium: W32/VB.CRJ
     DrWeb: WIN.WORM.Virus
     Ikarus: Trojan.Win32.Swisyn


Betriebsysteme:
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Auswirkungen:
   • Setzt Sicherheitseinstellungen herunter
   • Terminierung von Sicherheitsprogrammen
   • Ldt schdliche Dateien herunter
   • nderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\csrss.exe
   • %SYSDIR%\updates.exe



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.




Es wird versucht die folgenden Dateien herunterzuladen:

Die URL ist folgende:
   • http://**********/tryme.iq
Diese wird lokal gespeichert unter: %WINDIR%\tryme.iq Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar.

Die URL ist folgende:
   • http://**********/ff.iq
Diese wird lokal gespeichert unter: %WINDIR%\ff.iq Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar.

Die URL ist folgende:
   • http://**********/gc.iq
Diese wird lokal gespeichert unter: %WINDIR%\gc.iq Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar.

Die URL ist folgende:
   • http://**********/ie.iq
Diese wird lokal gespeichert unter: %WINDIR%\ie.iq Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar.

Die URL ist folgende:
   • http://**********/im.iq
Diese wird lokal gespeichert unter: %WINDIR%\im.iq Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar.

Die URL ist folgende:
   • http://**********/op.iq
Diese wird lokal gespeichert unter: %WINDIR%\op.iq Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar.

Die URL ist folgende:
   • http://**********/m.iq
Diese wird lokal gespeichert unter: %WINDIR%\m.iq Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar.

Die URL ist folgende:
   • http://**********/rd.iq
Diese wird lokal gespeichert unter: %WINDIR%\rd.iq Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar.

Die URL ist folgende:
   • http://**********/pspv.iq
Diese wird lokal gespeichert unter: %WINDIR%\pspv.iq Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar.

Die URL ist folgende:
   • http://**********/SendEmail.iq
Diese wird lokal gespeichert unter: %WINDIR%\SendEmail.ip Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar.

Die URL ist folgende:
   • http://**********/hst.iq
Diese wird lokal gespeichert unter: %WINDIR%\hst.ip Der Inhalt wird genutzt um die hosts Datei zu modifizieren.

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe %WINDIR%\csrss.exe"



Folgende Registryschlssel werden gendert:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Neuer Wert:
   • "EnableLUA"=dword:00000000
   • "PromptOnSecureDesktop"=dword:00000000
   • "EnableVirtualization"=dword:00000000

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avp.com]
   Alter Wert:
   • "Debugger"="%WINDIR%\csrss.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avp.exe]
   Neuer Wert:
   • "Debugger"="%WINDIR%\csrss.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avguard.exe]
   Neuer Wert:
   • "Debugger"="%WINDIR%\csrss.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avgupsvc.exe]
   Neuer Wert:
   • "Debugger"="%WINDIR%\csrss.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avnotify.exe]
   Neuer Wert:
   • "Debugger"="%WINDIR%\csrss.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\system.exe]
   Neuer Wert:
   • "Debugger"="%WINDIR%\csrss.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\drwebwcl.exe]
   Neuer Wert:
   • "Debugger"="%WINDIR%\csrss.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\drwreg.exe]
   Neuer Wert:
   • "Debugger"="%WINDIR%\csrss.exe"

 Email Die Malware nutzt Messaging Application Programming Interface (MAPI) um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgefhrt:


An:
 Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Betreff:
Folgende:
   • Here you have



Body:

   • Hello:
     
     This is The Document I told you about,you can find it
     Here.http://**********.multimania.co.uk/yahoophoto/PDF_Document21_025542010_pdf.scr
     
     Please check it and reply as soon as possible.



Die Email sieht wie folgt aus:


 Prozess Beendigung  Unterbindet das Ausfhren von Prozessen welche einer der folgenden Zeichenketten im Dateinamen enthalten:
   • USB Disk Security; AntiVir WebService; WinDefend; Avast! Antivir; AVG
      Security Toolbar Service; Panda Software Controller; wuauserv;
      McNaiAnn; aswUpdSv; avast! Mail Scanner; avast! Web Scanner;
      AntiVirService; AntiVirSchedulerService; AntiVirFirewallService; NIS;
      MSK80Service; mfefire; McNASvc; Mc0obeSv; McMPFSvc; McProxy; Mc0DS;
      mcmscsvc; mfevtp; Avgfws9; avg9wd; AVGIDSAgent; PAVFNSVR; Gwmsrv;
      PSHost; PSIMSVC; PAVSRV; PavPrSrv; PskSvcRetail; TPSrv; SfCtlCom;
      TmProxy; TMBMServer; Arrakis3; LIVESRV; VSSERV; sdAuxService;
      sdCoreService

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Christoph Baumann am Freitag, 10. September 2010
Die Beschreibung wurde geändert von Christoph Baumann am Montag, 13. September 2010

zurück . . . .