Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/Swisyn.algm
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:中等程度至高程度
感染/传播能力:高程度
破坏 / 损害程度:中等程度至高程度
静态文件:
文件大小:290.816 字节
MD5 校检和:2bde56d8fb2df4438192fb46cd0Cc9c9
VDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe
IVDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe

 况概描述 传播方法:
   • 视窗自动运行Autorun功能
   • 电子邮件


别名:
   •  Symantec: W32.Imsolk.B@mm
   •  Mcafee: W32/VBMania@MM
   •  Kaspersky: Trojan.Win32.Swisyn.algm
   •  TrendMicro: WORM_MEYLME.B
   •  F-Secure: Worm:W32/VB.MDY
   •  Sophos: W32/Autorun-BHO
   •  Bitdefender: Trojan.Downloader.VB.WQE
   •  Microsoft: Worm:Win32/Visal.B
   •  Panda: Trj/CI.A
   •  PCTools: Email-Worm.Imsolk
   •  Eset: Win32/Visal.A
   •  GData: Trojan.Downloader.VB.WQE
   •  AhnLab: Trojan/Win32.Swisyn
   •  Authentium: W32/VB.CRJ
   •  DrWeb: WIN.WORM.Virus
   •  Ikarus: Trojan.Win32.Swisyn


平台/操作系统:
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


副作用:
   • 降低系统安全设置
   • 关闭安全应用程序
   • 下载恶意文件
   • 注册表修改

 文件 它将本身复制到以下位置:
   • %WINDIR%\csrss.exe
   • %SYSDIR%\updates.exe



它会删除其本身最初执行的副本。




它会尝试下载一些文件:

– 该位置如下所示:
   • http://**********/tryme.iq
它会保存在硬盘驱动器以下的位置: %WINDIR%\tryme.iq 撰写本文时,此文件并未联机作深入调查。

– 该位置如下所示:
   • http://**********/ff.iq
它会保存在硬盘驱动器以下的位置: %WINDIR%\ff.iq 撰写本文时,此文件并未联机作深入调查。

– 该位置如下所示:
   • http://**********/gc.iq
它会保存在硬盘驱动器以下的位置: %WINDIR%\gc.iq 撰写本文时,此文件并未联机作深入调查。

– 该位置如下所示:
   • http://**********/ie.iq
它会保存在硬盘驱动器以下的位置: %WINDIR%\ie.iq 撰写本文时,此文件并未联机作深入调查。

– 该位置如下所示:
   • http://**********/im.iq
它会保存在硬盘驱动器以下的位置: %WINDIR%\im.iq 撰写本文时,此文件并未联机作深入调查。

– 该位置如下所示:
   • http://**********/op.iq
它会保存在硬盘驱动器以下的位置: %WINDIR%\op.iq 撰写本文时,此文件并未联机作深入调查。

– 该位置如下所示:
   • http://**********/m.iq
它会保存在硬盘驱动器以下的位置: %WINDIR%\m.iq 撰写本文时,此文件并未联机作深入调查。

– 该位置如下所示:
   • http://**********/rd.iq
它会保存在硬盘驱动器以下的位置: %WINDIR%\rd.iq 撰写本文时,此文件并未联机作深入调查。

– 该位置如下所示:
   • http://**********/pspv.iq
它会保存在硬盘驱动器以下的位置: %WINDIR%\pspv.iq 撰写本文时,此文件并未联机作深入调查。

– 该位置如下所示:
   • http://**********/SendEmail.iq
它会保存在硬盘驱动器以下的位置: %WINDIR%\SendEmail.ip 撰写本文时,此文件并未联机作深入调查。

– 该位置如下所示:
   • http://**********/hst.iq
它会保存在硬盘驱动器以下的位置: %WINDIR%\hst.ip 它使用此内容来修改主机文件。

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe %WINDIR%\csrss.exe"



会更改以下注册表项:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   新值:
   • "EnableLUA"=dword:00000000
   • "PromptOnSecureDesktop"=dword:00000000
   • "EnableVirtualization"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avp.com]
   旧值:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avp.exe]
   新值:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avguard.exe]
   新值:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avgupsvc.exe]
   新值:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avnotify.exe]
   新值:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\system.exe]
   新值:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\drwebwcl.exe]
   新值:
   • "Debugger"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\drwreg.exe]
   新值:
   • "Debugger"="%WINDIR%\csrss.exe"

 电子邮件 它使用消息应用程序编程接口 (MAPI) 来发送电子邮件。 下面详细说明了它的特征:


收件人:
– 从 WAB (Windows 通讯簿) 搜集到的电子邮件地址


主题:
以下内容:
   • Here you have



正文:

   • Hello:
     
     This is The Document I told you about,you can find it
     Here.http://**********.multimania.co.uk/yahoophoto/PDF_Document21_025542010_pdf.scr
     
     Please check it and reply as soon as possible.



电子邮件如下所示:


 进程终止  不允许运行文件名中包含以下某个字符串的进程:
   • USB Disk Security; AntiVir WebService; WinDefend; Avast! Antivir; AVG
      Security Toolbar Service; Panda Software Controller; wuauserv;
      McNaiAnn; aswUpdSv; avast! Mail Scanner; avast! Web Scanner;
      AntiVirService; AntiVirSchedulerService; AntiVirFirewallService; NIS;
      MSK80Service; mfefire; McNASvc; Mc0obeSv; McMPFSvc; McProxy; Mc0DS;
      mcmscsvc; mfevtp; Avgfws9; avg9wd; AVGIDSAgent; PAVFNSVR; Gwmsrv;
      PSHost; PSIMSVC; PAVSRV; PavPrSrv; PskSvcRetail; TPSrv; SfCtlCom;
      TmProxy; TMBMServer; Arrakis3; LIVESRV; VSSERV; sdAuxService;
      sdCoreService

 文件详细信息 编程语言:
该恶意软件程序是用 Visual Basic 编写的。

Açıklamayı yerleştiren Christoph Baumann tarihinde 10 Eylül 2010 Cuma
Açıklamayı güncelleyen: Christoph Baumann tarihinde 13 Eylül 2010 Pazartesi

Geri . . . .
https:// Bu pencere güvenlik amacıyla şifrelenmiştir.