Имя:Worm/Swisyn.algm
Обнаружен:10/09/2010
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:От среднего до высокого
Потенциал распространения:Высокий
Потенциал повреждений:От среднего до высокого
Файл статистики:Да
Размер файла:290.816 байт.
Контрольная сумма MD5:2bde56d8fb2df4438192fb46cd0Cc9c9
Версия IVDF:7.10.11.124 - пятница, 10 сентября 2010 г.

 Общее Методы распространения:
   • Функция автозапуска
   • Email


Псевдонимы (аliases):
   •  Symantec: W32.Imsolk.B@mm
   •  Mcafee: W32/VBMania@MM
   •  Kaspersky: Trojan.Win32.Swisyn.algm
   •  TrendMicro: WORM_MEYLME.B
   •  F-Secure: Worm:W32/VB.MDY
   •  Sophos: W32/Autorun-BHO
   •  Bitdefender: Trojan.Downloader.VB.WQE
   •  Microsoft: Worm:Win32/Visal.B
   •  Panda: Trj/CI.A
   •  PCTools: Email-Worm.Imsolk
   •  Eset: Win32/Visal.A
   •  GData: Trojan.Downloader.VB.WQE
   •  AhnLab: Trojan/Win32.Swisyn
   •  Authentium: W32/VB.CRJ
   •  DrWeb: WIN.WORM.Virus
   •  Ikarus: Trojan.Win32.Swisyn


Операционные системы:
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Последствия:
   • Снижает уровень настроек безопасности
   • Отключение приложений безопасности
   • Загружает вредоносные файлы
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %WINDIR%\csrss.exe
   • %SYSDIR%\updates.exe



Выполненная копия программы удаляется.




Попытка загрузки следующих файлов:

– Следующий URL:
   • http://**********/tryme.iq
Сохраняется локально в: %WINDIR%\tryme.iq На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://**********/ff.iq
Сохраняется локально в: %WINDIR%\ff.iq На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://**********/gc.iq
Сохраняется локально в: %WINDIR%\gc.iq На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://**********/ie.iq
Сохраняется локально в: %WINDIR%\ie.iq На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://**********/im.iq
Сохраняется локально в: %WINDIR%\im.iq На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://**********/op.iq
Сохраняется локально в: %WINDIR%\op.iq На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://**********/m.iq
Сохраняется локально в: %WINDIR%\m.iq На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://**********/rd.iq
Сохраняется локально в: %WINDIR%\rd.iq На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://**********/pspv.iq
Сохраняется локально в: %WINDIR%\pspv.iq На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://**********/SendEmail.iq
Сохраняется локально в: %WINDIR%\SendEmail.ip На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://**********/hst.iq
Сохраняется локально в: %WINDIR%\hst.ip Содержимое используется для модификации хост-файла.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe %WINDIR%\csrss.exe"



Изменяются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Новое значение:
   • "EnableLUA"=dword:00000000
   • "PromptOnSecureDesktop"=dword:00000000
   • "EnableVirtualization"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avp.com]
   Прежнее значение:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avp.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avguard.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avgupsvc.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avnotify.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\system.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\drwebwcl.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\drwreg.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\csrss.exe"

 Email Вредоносная программа отправляет почту с помощью MAPI интерфейса. Устанавливается прямое соединение с сервером. Подробности приведены ниже:


Кому:
– Полученные из WAB (адресная книга Windows) адреса электронной почты


Тема:
Следующее:
   • Here you have



Тело:

   • Hello:
     
     This is The Document I told you about,you can find it
     Here.http://**********.multimania.co.uk/yahoophoto/PDF_Document21_025542010_pdf.scr
     
     Please check it and reply as soon as possible.



Письмо выглядит следующим образом:


 Завершение процесса  Запрещает выполнение процессов со одной из следующих последовательностей знаков в названии файла:
   • USB Disk Security; AntiVir WebService; WinDefend; Avast! Antivir; AVG
      Security Toolbar Service; Panda Software Controller; wuauserv;
      McNaiAnn; aswUpdSv; avast! Mail Scanner; avast! Web Scanner;
      AntiVirService; AntiVirSchedulerService; AntiVirFirewallService; NIS;
      MSK80Service; mfefire; McNASvc; Mc0obeSv; McMPFSvc; McProxy; Mc0DS;
      mcmscsvc; mfevtp; Avgfws9; avg9wd; AVGIDSAgent; PAVFNSVR; Gwmsrv;
      PSHost; PSIMSVC; PAVSRV; PavPrSrv; PskSvcRetail; TPSrv; SfCtlCom;
      TmProxy; TMBMServer; Arrakis3; LIVESRV; VSSERV; sdAuxService;
      sdCoreService

 Данные файла Язык программирования:
 Программа была написана на Visual Basic.

Описание добавил Christoph Baumann в(о) пятница, 10 сентября 2010 г.
Описание обновил Christoph Baumann в(о) понедельник, 13 сентября 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.