Active Scan. Analiza Gratis tu PC
Panda Global Protection 2011

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Sinowal.VZR

PeligrosidadPeligrosidad bajaDañoDañinoPropagaciónPoco extendido

Efectos 

Sinowal.VZR realiza las siguientes acciones:

  • Borra las cookies y el historial de navegación para obligar al usuario a teclear las direcciones web a las que accede e introducir el nombre de usuario y contraseña en las páginas web que visita.
  • Monitoriza la navegación del usuario y cuando accede a la página web de ciertas entidades bancarias, el troyano se activa y captura los datos introducidos en los formularios de dichas páginas web.
  • De esta manera, obtendría las credenciales de acceso del usuario a su entidad bancaria.
  • Envía la información que ha obtenido a través de FTP a su creador.

Metodo de Infección 

Sinowal.VZR crea los siguientes archivos en el directorio de sistema de Windows:

  • TWEX.EXE, que es una copia del troyano.
  • USER.DS, en una subcarpeta denominada twain, creada por él mismo. En este archivo almacena la información robada.
  • LOCAL.DDS, en una subcarpeta denominada twain32, creada por él mismo. Se trata de un archivo de configuración del troyano.

 

Sinowal.VZR crea las siguientes entradas en el Registro de Windows:

  • HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Network
    UID =     %nombredelamáquina_8caracteres%
  • HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Network
    UID =     %nombredelamáquina_8caracteres%
    Estas entradas son creadas como marca de infección.

 

Sinowal.VZR modifica la siguiente entrada del Registro de Windows:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    Userinit = %sysdir%\userinit.exe
    donde %sysdir% es el directorio de sistema de Windows.
    Cambia esta entrada por:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    Userinit = %sysdir%\userinit.exe,%sysdir%\twex.exe,
    Mediante esta modificación, Sinowal.VZR consigue ejecutarse cada vez que Windows se inicia.

Método de Propagación 

Sinowal.VZR es distribuído en mensajes de correo electrónico que parecen provenir de compañías aéreas en los que se informa al usuario de que se ha cargado en su cuenta una cantidad de dinero por unos billetes de avión.

El mensaje contiene un archivo adjunto en formato zip y de nombre eTicket_%5númerosaleatorios%.zip. Si este archivo se descomprime y ejecuta el archivo con extensión EXE que contiene, se estará descargando una copia del troyano en el ordenador afectado.

La siguiente imagen corresponde a un ejemplo de mensaje en el que se distribuye este troyano:

Otros Detalles  

Sinowal.VZR tiene un tamaño de 20419 Bytes.
Soporte técnico
Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info