Nombre:TR/Swisyn.aegr.1
Descubierto:06/07/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Bajo
Potencial dañino:Bajo
Fichero estático:
Tamaño:262.158 Bytes
Suma de control MD5:28de640f45d5127fa5395c8f612066a2
Versión del IVDF:7.10.09.13 - martes 6 de julio de 2010

 General Método de propagación:
   • Función de autoejecución


Alias:
   •  Sophos: Mal/AutoRun-N
   •  Bitdefender: Trojan.Agent.VB.BMA
   •  Panda: W32/Silly.BX


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %HOME%\Application Data\lsass.exe
   • %disquetera%\lsass.exe



Elimina la copia inicial del virus.

%disquetera%\Autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%




Intenta ejecutar el siguiente fichero:

– Ejecuta uno de los ficheros siguientes:
   • netsh firewall add allowedprogram program = %HOME%\Application Data\lsass.exename = Nero mode = ENABLE

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe %HOME%\Application Data\lsass.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "MSWUpdate"="%HOME%\Application Data\lsass.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "MSWUpdate"="%HOME%\Application Data\lsass.exe"

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el miércoles 25 de agosto de 2010
Descripción actualizada por Petre Galan el miércoles 25 de agosto de 2010

Volver . . . .