středa 16. května 2012

PWS:Win32/Sinowal


Encyklopedický vstup
Aktualizováno: 11.05.2011  |  Zveřejněno: 11. května 2011 Přezdívky Není k dispozici Úroveň pohotovosti (?) Vysoká 







Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace:
Definice: 1.121.1341.0
Vydáno: 12.03.2012
Detekce původně vytvořeny:
Definice: 1.45.287.0
Datum vydání: Říjen 07, 2008


Na této stránce



 

Shrnutí

PWS:Win32/Sinowal je vícekomponentní trojan, který komunikuje se servery odeslat citlivé informace, například informace o postiženého počítače a jiná pověření.


 

Příznaky

Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
  • Přítomnost těchto souborů: % ProgramFiles% \ Common Files \ Microsoft Shared \ Web Folders \ ibm00001.dll % ProgramFiles% \ Common Files \ Microsoft Shared \ Web Folders \ ibm00002.dll % ProgramFiles% \ Common Files \ Microsoft Shared \ web Složky \ ibm00001.exe


 

Technické informace (analýza)

PWS:Win32/Sinowal je vícekomponentní trojan, který komunikuje se servery odeslat citlivé informace, například informace o postiženého počítače a jiná pověření.
Instalace
Při spuštění, PWS:Win32/Sinowalvytváří mutex jména " stsvcmut "a" stsvcsmut ". Klesne následující soubory:
  • % ProgramFiles% \ Common Files \ Microsoft Shared \ Web Folders \ ibm00001.dll - TrojanSpy: Win32/Small
  • % ProgramFiles% \ Common Files \ Microsoft Shared \ Web Folders \ ibm00002.dll -PWS:Win32/Sinowal
  • % ProgramFiles% \ Common Files \ Microsoft Shared \ Web Folders \ ibm00001.exe -PWS:Win32/Sinowal, Zatížení " ibm00001.dll "
Registr je upraven tak, aby spuštění trojského složka " ibm00001.exe "při každém spuštění systému Windows.
V podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
nastaví hodnotu: " Shell "
Z dat: " explorer.exe "
k datům: " explorer.exe <spaces> "% ProgramFiles% \ Common Files \ Microsoft Shared \ Webové složky \ ibm00001.exe " "
V některých vzorcích, PWS:Win32/Sinowal může vytvořit kopii sebe sama jako následující:
    % TEMP% \ clean_ . <random characters> DLL - například " clean_25bc2.dll "
To pak nastaví svoji kopii klesla k běhu podél legitimní souborů systému Windows " svchost.exe ".
To také vytváří záznam o jeho kopii klesly v systémovém registru, takže to běží jako služba:
V podklíč: HKLM \ SYSTEM \ ControlSet001 \ Services \ \ Parameters ldrsvc
nastaví hodnotu: " ServiceDLL "
Vzhledem k objemu dat: " % TEMP% \ clean_25bc2.dll
Užitečná
Monitory webový provoz
PWS:Win32/Sinowal klesne zašifrovaný soubor s náhodným názvem souboru, který obsahuje seznam bankovních webových stránek, stejně jako v následujícím příkladu:
% Windir% \ Temp \ $ _2341234.tmp
PWS:Win32/Sinowalháky různých API, aby se zachytit webového provozu, kterého Firefox a Internet Explorer prohlížeče na těchto stránkách. Trojan se také mohou pokusit zachytit pověření používaných různými e-mailových programů a FTP klienty.
Monitory zabezpečení oken
PWS:Win32/Sinowal monitoruje zprávy okna, která mohou být zobrazeny různé bezpečnostní programy a automaticky vybere čestné prohlášení tlačítek jako na "OK") v okně, které by mohly vést umožňuje trojský kůň běžet bez zásahu kontaktovat a komunikovat se vzdálenými servery.
Komunikuje se servery
Trojan se může obrátit na různé vzdálené servery pomocí protokolu HTTP a User-Agent hodnotu "User-Agent: Mozilla/4.0". Po připojení úspěšně, trojský kůň posílá různé detaily, jako je verze operačního systému, IP adresy nebo přístavy, kde je to na poslech a seznam pověřovacích listin. Ve volné přírodě byl tento trojan pozorována se spojit s oblastech, jako je následující:
  • myadib7.com
  • vermyt7.com
  • katrin7.com
  • 777level.com
Cílová Požadovaná stránka je obyčejně nazvaný " x25.php "v podadresáři" gamma ".

Žádné komentáře:

Okomentovat