¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Swisyn.algm
Descubierto:10/09/2010
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-alto
Potencial de propagacin:Alto
Potencial daino:Medio-alto
Fichero esttico:S
Tamao:290.816 Bytes
Suma de control MD5:2bde56d8fb2df4438192fb46cd0Cc9c9
Versin del IVDF:7.10.11.124 - viernes 10 de septiembre de 2010

 General Mtodos de propagacin:
    Funcin de autoejecucin
   • Correo electrnico


Alias:
   •  Symantec: W32.Imsolk.B@mm
   •  Mcafee: W32/VBMania@MM
   •  Kaspersky: Trojan.Win32.Swisyn.algm
   •  TrendMicro: WORM_MEYLME.B
   •  F-Secure: Worm:W32/VB.MDY
   •  Sophos: W32/Autorun-BHO
   •  Bitdefender: Trojan.Downloader.VB.WQE
     Microsoft: Worm:Win32/Visal.B
   •  Panda: Trj/CI.A
     PCTools: Email-Worm.Imsolk
   •  Eset: Win32/Visal.A
     GData: Trojan.Downloader.VB.WQE
AhnLab: Trojan/Win32.Swisyn
     Authentium: W32/VB.CRJ
     DrWeb: WIN.WORM.Virus
     Ikarus: Trojan.Win32.Swisyn


Plataformas / Sistemas operativos:
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Efectos secundarios:
   • Reduce las opciones de seguridad
   • Desactiva los programas de seguridad
   • Descarga ficheros dainos
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %WINDIR%\csrss.exe
   • %SYSDIR%\updates.exe



Elimina la copia inicial del virus.




Intenta descargar algunos ficheros:

La direccin es la siguiente:
   • http://**********/tryme.iq
El fichero est guardado en el disco duro en: %WINDIR%\tryme.iq Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

La direccin es la siguiente:
   • http://**********/ff.iq
El fichero est guardado en el disco duro en: %WINDIR%\ff.iq Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

La direccin es la siguiente:
   • http://**********/gc.iq
El fichero est guardado en el disco duro en: %WINDIR%\gc.iq Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

La direccin es la siguiente:
   • http://**********/ie.iq
El fichero est guardado en el disco duro en: %WINDIR%\ie.iq Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

La direccin es la siguiente:
   • http://**********/im.iq
El fichero est guardado en el disco duro en: %WINDIR%\im.iq Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

La direccin es la siguiente:
   • http://**********/op.iq
El fichero est guardado en el disco duro en: %WINDIR%\op.iq Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

La direccin es la siguiente:
   • http://**********/m.iq
El fichero est guardado en el disco duro en: %WINDIR%\m.iq Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

La direccin es la siguiente:
   • http://**********/rd.iq
El fichero est guardado en el disco duro en: %WINDIR%\rd.iq Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

La direccin es la siguiente:
   • http://**********/pspv.iq
El fichero est guardado en el disco duro en: %WINDIR%\pspv.iq Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

La direccin es la siguiente:
   • http://**********/SendEmail.iq
El fichero est guardado en el disco duro en: %WINDIR%\SendEmail.ip Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

La direccin es la siguiente:
   • http://**********/hst.iq
El fichero est guardado en el disco duro en: %WINDIR%\hst.ip Emplea este contenido para modificar el fichero hosts.

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe %WINDIR%\csrss.exe"



Modifica las siguientes claves del registro:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Nuevo valor:
   • "EnableLUA"=dword:00000000
   • "PromptOnSecureDesktop"=dword:00000000
   • "EnableVirtualization"=dword:00000000

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avp.com]
   Valor anterior:
   • "Debugger"="%WINDIR%\csrss.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avp.exe]
   Nuevo valor:
   • "Debugger"="%WINDIR%\csrss.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avguard.exe]
   Nuevo valor:
   • "Debugger"="%WINDIR%\csrss.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avgupsvc.exe]
   Nuevo valor:
   • "Debugger"="%WINDIR%\csrss.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avnotify.exe]
   Nuevo valor:
   • "Debugger"="%WINDIR%\csrss.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\system.exe]
   Nuevo valor:
   • "Debugger"="%WINDIR%\csrss.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\drwebwcl.exe]
   Nuevo valor:
   • "Debugger"="%WINDIR%\csrss.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\drwreg.exe]
   Nuevo valor:
   • "Debugger"="%WINDIR%\csrss.exe"

 Correo electrnico Emplea Messaging Application Programming Interface (MAPI) para enviar mensajes de correo. Las caractersticas estn descritas a continuacin:


Para:
 Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
El siguiente:
   • Here you have



El cuerpo del mensaje:

   • Hello:
     
     This is The Document I told you about,you can find it
     Here.http://**********.multimania.co.uk/yahoophoto/PDF_Document21_025542010_pdf.scr
     
     Please check it and reply as soon as possible.



El mensaje de correo se ve as:


 Finalizacin de los procesos  No permiten la ejecucin de los procesos cuyos nombres incluyen una de las siguientes series de caracteres:
   • USB Disk Security; AntiVir WebService; WinDefend; Avast! Antivir; AVG
      Security Toolbar Service; Panda Software Controller; wuauserv;
      McNaiAnn; aswUpdSv; avast! Mail Scanner; avast! Web Scanner;
      AntiVirService; AntiVirSchedulerService; AntiVirFirewallService; NIS;
      MSK80Service; mfefire; McNASvc; Mc0obeSv; McMPFSvc; McProxy; Mc0DS;
      mcmscsvc; mfevtp; Avgfws9; avg9wd; AVGIDSAgent; PAVFNSVR; Gwmsrv;
      PSHost; PSIMSVC; PAVSRV; PavPrSrv; PskSvcRetail; TPSrv; SfCtlCom;
      TmProxy; TMBMServer; Arrakis3; LIVESRV; VSSERV; sdAuxService;
      sdCoreService

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Christoph Baumann el viernes 10 de septiembre de 2010
Descripción actualizada por Christoph Baumann el lunes 13 de septiembre de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.