Worm / Swisyn.algm







Nome del virus: Worm/Swisyn.algm
Scoperto: 10/09/2010
Tipo: Worm
In circolazione (ITW): Si
Numero delle infezioni segnalate: Medio-Alto
Potenziale di propagazione: Alto
Potenziale di danni: Medio-Alto
File statico: Si
Dimensione del file: 290.816 Byte
Somma di controllo MD5: 2bde56d8fb2df4438192fb46cd0Cc9c9
Versione IVDF: 7.10.11.124

Metodo di propagazione:
• Funzione di esecuzione automatica

Alias:
• Symantec: W32.Imsolk.B@mm
• Mcafee: W32/VBMania@MM
• Kaspersky: Trojan.Win32.Swisyn.algm
• TrendMicro: WORM_MEYLME.B
• F-Secure: Worm:W32/VB.MDY
• Sophos: W32/Autorun-BHO
• Bitdefender: Trojan.Downloader.VB.WQE
• Microsoft: Worm:Win32/Visal.B
• Panda: Trj/CI.A
• PCTools: Email-Worm.Imsolk
• Eset: Win32/Visal.A
• GData: Trojan.Downloader.VB.WQE
• AhnLab: Trojan/Win32.Swisyn
• Authentium: W32/VB.CRJ
• DrWeb: WIN.WORM.Virus
• Ikarus: Trojan.Win32.Swisyn

Piattaforme / Sistemi operativi:
• Windows XP
• Windows 2003
• Windows Vista
• Windows Server 2008
• Windows 7

Effetti secondari:
• Abbassa le impostazioni di sicurezza
• Disattiva le applicazioni di sicurezza
• Scarica file “maligni”
• Modifica del registro

File
Si copia alle seguenti posizioni:
• %WINDIR%\csrss.exe
• %SYSDIR%\updates.exe

Cancella la copia di se stesso eseguita inizialmente.

Prova a scaricare dei file:

– La posizione è la seguente:
• http://**********/tryme.iq
Viene salvato in locale sotto: %WINDIR%\tryme.iq

– La posizione è la seguente:
• http://**********/ff.iq
Viene salvato in locale sotto: %WINDIR%\ff.iq

– La posizione è la seguente:
• http://**********/im.iq
Viene salvato in locale sotto: %WINDIR%\im.iq

Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
• "Shell"="Explorer.exe %WINDIR%\csrss.exe"

Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
Nuovo valore:
• "EnableLUA"=dword:00000000
• "PromptOnSecureDesktop"=dword:00000000
• "EnableVirtualization"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\avp.com]
Valore precedente:
• "Debugger"="%WINDIR%\csrss.exe"

Descrizione inserita da Christoph Baumann il Fri, 10 Sep 2010 13:18 (GMT+1)
Descrizione aggiornata da Christoph Baumann il Fri, 10 Sep 2010 14:25 (GMT+1)

Fonte: http://www.avira.com/it/threats/
alle
Etichette:

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)