Active Scan. Analiza Gratis tu PC
Panda Global Protection 2011

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Sinowal.WTF

PeligrosidadPeligrosidad bajaDañoDañinoPropagaciónPoco extendido

Efectos 

Sinowal.WTF está diseñado para robar información del ordenador y del usuario, ya que registra las pulsaciones de teclado introducidas por el usuario, con lo que puede obtener contraseñas, nombres de usuario, direcciones de correo electrónico, etc.

Por otra parte, Sinowal.WTF realiza las siguientes acciones:

  • Llega al ordenador en un mensaje de correo electrónico en inglés que parece haber sido enviado por el equipo de MySpace.
  • El siguiente es un ejemplo del correo electrónico en el que llega Sinowal.WTF:

    Mensaje de MySpace en el que se distribuye Sinowal.WTF
  • En el mensaje se informa al usuario de que por motivos de seguridad se ha cambiado su contraseña y que puede consultar la nueva en el documento adjunto.
  • El documento adjunto tiene el siguiente aspecto:

    Archivo adjunto en el mensaje de MySpace
  • Cuando se descomprime, se muestra un archivo que parece ser un documento de Word con la contraseña:

    Icono del archivo en el que llega Sinowal.WTF
  • Sin embargo, si se ejecuta este archivo, el ordenador quedará afectado por Sinowal.WTF.

Metodo de Infección 

Sinowal.WTF crea los siguientes archivos:

  • SDRA64.EXE, en el directorio de sistema de Windows. Este archivo es una copia del troyano.
  • RARYPE32.EXE, en la ruta C:\Documents and Settings\%nombreusuario%\Menú Inicio\Programas\Inicio.
    donde %nombreusuario% es el nombre de usuario del usuario que ha iniciado sesión.
  • ~TM6.TMP, en la ruta C:\Documents and Settings\%nombreusuario%\Configuración Local\Temp.
  • ~TMD.TMP, en la carpeta Temp del directorio de Windows.
  • MVHGKR.DAT, en la carpeta NetworkService\Datos de programa del directorio Documents and Settings.
  • AVDRN.DAT, en la carpeta Datos de programa del directorio Documents and Settings del usuario que haya iniciado sesión.

 

Sinowal.WTF modifica la siguiente entrada en el  Registro de Windows:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon
    Userinit = %sysdir%\userinit.exe,
    donde %sysdir% es el directorio de sistema de Windows.
    Cambia esta entrada por:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon
    Userinit = %sysdir%\userinit.exe,%sysdir%\sdra64.exe,
    Mediante esta modificación, Sinowal.WTF consigue ejecutarse cada vez que Windows se inicia.

Método de Propagación 

Sinowal.WTF no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, dispositivos extraíbles como llaves USBs, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Otros Detalles  

Sinowal.WTF tiene un tamaño de 36864 Bytes.