Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Swisyn.algm
La date de la dcouverte:10/09/2010
Type:Ver
En circulation:Oui
Infections signales Moyen lev
Potentiel de distribution:lev
Potentiel de destruction:Moyen lev
Fichier statique:Oui
Taille du fichier:290.816 Octets
Somme de contrle MD5:2bde56d8fb2df4438192fb46cd0Cc9c9
Version IVDF:7.10.11.124 - vendredi 10 septembre 2010

 Gnral Mthodes de propagation:
    Fonctionnalit d'excution automatique
   • Email


Les alias:
   •  Symantec: W32.Imsolk.B@mm
   •  Mcafee: W32/VBMania@MM
   •  Kaspersky: Trojan.Win32.Swisyn.algm
   •  TrendMicro: WORM_MEYLME.B
   •  F-Secure: Worm:W32/VB.MDY
   •  Sophos: W32/Autorun-BHO
   •  Bitdefender: Trojan.Downloader.VB.WQE
     Microsoft: Worm:Win32/Visal.B
   •  Panda: Trj/CI.A
     PCTools: Email-Worm.Imsolk
   •  Eset: Win32/Visal.A
     GData: Trojan.Downloader.VB.WQE
AhnLab: Trojan/Win32.Swisyn
     Authentium: W32/VB.CRJ
     DrWeb: WIN.WORM.Virus
     Ikarus: Trojan.Win32.Swisyn


Plateformes / Systmes d'exploitation:
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effets secondaires:
   • Il diminue les rglages de scurit
   • Arrt les applications de scurit
   • Il tlcharge des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\csrss.exe
   • %SYSDIR%\updates.exe



Il supprime sa propre copie, excute initialement




Il essaie de tlcharger des fichiers:

L'emplacement est le suivant:
   • http://**********/tryme.iq
Il est sauvegard sur le disque dur local l'emplacement: %WINDIR%\tryme.iq Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

L'emplacement est le suivant:
   • http://**********/ff.iq
Il est sauvegard sur le disque dur local l'emplacement: %WINDIR%\ff.iq Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

L'emplacement est le suivant:
   • http://**********/gc.iq
Il est sauvegard sur le disque dur local l'emplacement: %WINDIR%\gc.iq Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

L'emplacement est le suivant:
   • http://**********/ie.iq
Il est sauvegard sur le disque dur local l'emplacement: %WINDIR%\ie.iq Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

L'emplacement est le suivant:
   • http://**********/im.iq
Il est sauvegard sur le disque dur local l'emplacement: %WINDIR%\im.iq Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

L'emplacement est le suivant:
   • http://**********/op.iq
Il est sauvegard sur le disque dur local l'emplacement: %WINDIR%\op.iq Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

L'emplacement est le suivant:
   • http://**********/m.iq
Il est sauvegard sur le disque dur local l'emplacement: %WINDIR%\m.iq Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

L'emplacement est le suivant:
   • http://**********/rd.iq
Il est sauvegard sur le disque dur local l'emplacement: %WINDIR%\rd.iq Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

L'emplacement est le suivant:
   • http://**********/pspv.iq
Il est sauvegard sur le disque dur local l'emplacement: %WINDIR%\pspv.iq Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

L'emplacement est le suivant:
   • http://**********/SendEmail.iq
Il est sauvegard sur le disque dur local l'emplacement: %WINDIR%\SendEmail.ip Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

L'emplacement est le suivant:
   • http://**********/hst.iq
Il est sauvegard sur le disque dur local l'emplacement: %WINDIR%\hst.ip Il utilise ce contenu pour modifier le fichier hte.

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe %WINDIR%\csrss.exe"



Les cls de registre suivantes sont changes:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   La nouvelle valeur:
   • "EnableLUA"=dword:00000000
   • "PromptOnSecureDesktop"=dword:00000000
   • "EnableVirtualization"=dword:00000000

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avp.com]
   L'ancienne valeur:
   • "Debugger"="%WINDIR%\csrss.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avp.exe]
   La nouvelle valeur:
   • "Debugger"="%WINDIR%\csrss.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avguard.exe]
   La nouvelle valeur:
   • "Debugger"="%WINDIR%\csrss.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avgupsvc.exe]
   La nouvelle valeur:
   • "Debugger"="%WINDIR%\csrss.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avnotify.exe]
   La nouvelle valeur:
   • "Debugger"="%WINDIR%\csrss.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\system.exe]
   La nouvelle valeur:
   • "Debugger"="%WINDIR%\csrss.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\drwebwcl.exe]
   La nouvelle valeur:
   • "Debugger"="%WINDIR%\csrss.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\drwreg.exe]
   La nouvelle valeur:
   • "Debugger"="%WINDIR%\csrss.exe"

 Email Il utilise MAPI (Messaging Application Programming Interface) afin d'envoyer des messages. Les caractristiques sont dcrites ci-dessous:


A:
 les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Le suivant:
   • Here you have



Corps:

   • Hello:
     
     This is The Document I told you about,you can find it
     Here.http://**********.multimania.co.uk/yahoophoto/PDF_Document21_025542010_pdf.scr
     
     Please check it and reply as soon as possible.



L'email ressemble celui-ci:


 Arrt de processus:  Arrte l'excution des processus qui contient une des chanes de caractres suivantes dans le nom du fichier:
   • USB Disk Security; AntiVir WebService; WinDefend; Avast! Antivir; AVG
      Security Toolbar Service; Panda Software Controller; wuauserv;
      McNaiAnn; aswUpdSv; avast! Mail Scanner; avast! Web Scanner;
      AntiVirService; AntiVirSchedulerService; AntiVirFirewallService; NIS;
      MSK80Service; mfefire; McNASvc; Mc0obeSv; McMPFSvc; McProxy; Mc0DS;
      mcmscsvc; mfevtp; Avgfws9; avg9wd; AVGIDSAgent; PAVFNSVR; Gwmsrv;
      PSHost; PSIMSVC; PAVSRV; PavPrSrv; PskSvcRetail; TPSrv; SfCtlCom;
      TmProxy; TMBMServer; Arrakis3; LIVESRV; VSSERV; sdAuxService;
      sdCoreService

 Dtails de fichier Langage de programmation:
Le fichier a t crit en Visual Basic.

Description insérée par Christoph Baumann le vendredi 10 septembre 2010
Description mise à jour par Christoph Baumann le lundi 13 septembre 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.