Virus:TR/Drop.Sinowal.U
Date discovered:13/05/2006
Type:Trojan
Subtype:Dropper
In the wild:Yes
Reported Infections:Low
Distribution Potential:Low
Damage Potential:Low to medium
Static file:No
File size:~70.000 Bytes
VDF version:6.34.01.76
IVDF version:6.34.01.77 - Sunday, May 14, 2006

 General Method of propagation:
   • No own spreading routine


Aliases:
   •  Kaspersky: Trojan-PSW.Win32.Sinowal.u
   •  TrendMicro: TSPY_SINOWAL.BR
   •  Eset: Win32/TrojanDropper.Small.NEA
   •  Bitdefender: Trojan.PWS.Sinowal.T

It was previously detected as:
   •  TR/Dldr.Harnig.BP.3


Platforms / OS:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Side effects:
   • Drops malicious files

 Files The following files are created:

%PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.dll Further investigation pointed out that this file is malware, too. Detected as: TR/PSW.Sinowal.D.3

%PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.exe Furthermore it gets executed after it was fully created. Further investigation pointed out that this file is malware, too. Detected as: TR/PSW.Sinowal.M

%PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00002.dll Further investigation pointed out that this file is malware, too. Detected as: TR/PSW.Sinowal.D.32

%PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00003.exe Further investigation pointed out that this file is malware, too. Detected as: TR/PSW.Sinowal.N.6

 Email It doesn't have its own spreading routine but it was spammed out via email. The characteristics are described in the following:


From:
The sender address is spoofed.
The sender of the email is the following:
   • MS Windows Update <msrobot_donotreply@windowsupdate.com>


Subject:
The following:
   • Achtung! Wichtige Nachrichten von Microsoft Windows Update!



Body:
The body of the email is the following:

   • Achtung! Wichtige Nachrichten von Microsoft Windows Update!
     
     Sehr geehrte Benutzer Microsoft Windows XP!
     
     Gestern haben unbekannte Hacker den neuen Wurm-Virus eingesetzt. Nachdem er ins system reingreift, wird er von sich selbst nach Ihrer mailadressenliste ausgesendet, und alle Ihren Kontakte werden angesteckt. Nach der Ansteckung fängt das System instabil zu arbeiten, und der Komputer "hängt" genau nach einer Minute nach dem nächsten Hochfahren.
     Um die Benutzer des Systems Microsoft Windows XP zu schützen, haben unsere Sicherheitsspezialisten eine Erneuerung für das System entwickelt.
     
     Sie sollen die an den E-Mail angehängte Datei öffnen damit das System erneut wird und vollständig von neuem Wurm geschützt wird.
     
     Mit freundlichen Grüßen,
     
     Windows Update
     

 File details In order to aggravate detection and reduce size of the file it is packed with the following runtime packer:
   • UPX

Description inserted by Alexander Vukcevic on Tuesday, May 30, 2006
Description updated by Robert Harja Iliescu on Tuesday, September 5, 2006

Back . . . .