Nombre:Worm/Swisyn.algm
Descubierto:10/09/2010
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-alto
Potencial de propagación:Alto
Potencial dañino:Medio-alto
Fichero estático:
Tamaño:290.816 Bytes
Suma de control MD5:2bde56d8fb2df4438192fb46cd0Cc9c9
Versión del IVDF:7.10.11.124 - viernes 10 de septiembre de 2010

 General Métodos de propagación:
   • Función de autoejecución
   • Correo electrónico


Alias:
   •  Symantec: W32.Imsolk.B@mm
   •  Mcafee: W32/VBMania@MM
   •  Kaspersky: Trojan.Win32.Swisyn.algm
   •  TrendMicro: WORM_MEYLME.B
   •  F-Secure: Worm:W32/VB.MDY
   •  Sophos: W32/Autorun-BHO
   •  Bitdefender: Trojan.Downloader.VB.WQE
   •  Microsoft: Worm:Win32/Visal.B
   •  Panda: Trj/CI.A
   •  PCTools: Email-Worm.Imsolk
   •  Eset: Win32/Visal.A
   •  GData: Trojan.Downloader.VB.WQE
   •  AhnLab: Trojan/Win32.Swisyn
   •  Authentium: W32/VB.CRJ
   •  DrWeb: WIN.WORM.Virus
   •  Ikarus: Trojan.Win32.Swisyn


Plataformas / Sistemas operativos:
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Reduce las opciones de seguridad
   • Desactiva los programas de seguridad
   • Descarga ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\csrss.exe
   • %SYSDIR%\updates.exe



Elimina la copia inicial del virus.




Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://**********/tryme.iq
El fichero está guardado en el disco duro en: %WINDIR%\tryme.iq Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://**********/ff.iq
El fichero está guardado en el disco duro en: %WINDIR%\ff.iq Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://**********/gc.iq
El fichero está guardado en el disco duro en: %WINDIR%\gc.iq Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://**********/ie.iq
El fichero está guardado en el disco duro en: %WINDIR%\ie.iq Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://**********/im.iq
El fichero está guardado en el disco duro en: %WINDIR%\im.iq Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://**********/op.iq
El fichero está guardado en el disco duro en: %WINDIR%\op.iq Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://**********/m.iq
El fichero está guardado en el disco duro en: %WINDIR%\m.iq Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://**********/rd.iq
El fichero está guardado en el disco duro en: %WINDIR%\rd.iq Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://**********/pspv.iq
El fichero está guardado en el disco duro en: %WINDIR%\pspv.iq Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://**********/SendEmail.iq
El fichero está guardado en el disco duro en: %WINDIR%\SendEmail.ip Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://**********/hst.iq
El fichero está guardado en el disco duro en: %WINDIR%\hst.ip Emplea este contenido para modificar el fichero hosts.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe %WINDIR%\csrss.exe"



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Nuevo valor:
   • "EnableLUA"=dword:00000000
   • "PromptOnSecureDesktop"=dword:00000000
   • "EnableVirtualization"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avp.com]
   Valor anterior:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avp.exe]
   Nuevo valor:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avguard.exe]
   Nuevo valor:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avgupsvc.exe]
   Nuevo valor:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avnotify.exe]
   Nuevo valor:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\system.exe]
   Nuevo valor:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\drwebwcl.exe]
   Nuevo valor:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\drwreg.exe]
   Nuevo valor:
   • "Debugger"="%WINDIR%\csrss.exe"

 Correo electrónico Emplea Messaging Application Programming Interface (MAPI) para enviar mensajes de correo. Las características están descritas a continuación:


Para:
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
El siguiente:
   • Here you have



El cuerpo del mensaje:

   • Hello:
     
     This is The Document I told you about,you can find it
     Here.http://**********.multimania.co.uk/yahoophoto/PDF_Document21_025542010_pdf.scr
     
     Please check it and reply as soon as possible.



El mensaje de correo se ve así:


 Finalización de los procesos  No permiten la ejecución de los procesos cuyos nombres incluyen una de las siguientes series de caracteres:
   • USB Disk Security; AntiVir WebService; WinDefend; Avast! Antivir; AVG
      Security Toolbar Service; Panda Software Controller; wuauserv;
      McNaiAnn; aswUpdSv; avast! Mail Scanner; avast! Web Scanner;
      AntiVirService; AntiVirSchedulerService; AntiVirFirewallService; NIS;
      MSK80Service; mfefire; McNASvc; Mc0obeSv; McMPFSvc; McProxy; Mc0DS;
      mcmscsvc; mfevtp; Avgfws9; avg9wd; AVGIDSAgent; PAVFNSVR; Gwmsrv;
      PSHost; PSIMSVC; PAVSRV; PavPrSrv; PskSvcRetail; TPSrv; SfCtlCom;
      TmProxy; TMBMServer; Arrakis3; LIVESRV; VSSERV; sdAuxService;
      sdCoreService

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Christoph Baumann el viernes 10 de septiembre de 2010
Descripción actualizada por Christoph Baumann el lunes 13 de septiembre de 2010

Volver . . . .