Active Scan. Analiza Gratis tu PC
Panda Premium Assistance

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Sinowal.WUR

PeligrosidadPeligrosidad bajaDañoDañinoPropagaciónPoco extendido

Efectos 

Sinowal.WUR realiza las siguientes acciones:

  • Llega al ordenador en un mensaje de correo electrónico en inglés que parece haber sido enviado por el equipo de Facebook.
  • El asunto del mensaje puede ser uno de los siguientes, entre otros:
    Facebook Account Update
    Facebook Update Tool
  • En el mensaje se informa al usuario que se va a implantar un nuevo sistema de registro y se le solicita que actualice su cuenta. Este mensaje contiene varios enlaces que apuntan a la descarga del troyano.
  • El siguiente es un ejemplo del correo electrónico en el que llega Sinowal.WUR:

    Mensaje de Facebook en el que se distribuye Sinowal.WUR
  • Si el usuario pulsa sobre alguno de los enlaces del mensaje, se descarga un archivo comprimido con extensión zip y de nombre aleatorio como el siguiente:

    Archivo que contiene a Sinowal.WUR
  • Cuando este archivo es ejecutado, el ordenador queda infectado por Sinowal.WUR, que está diseñado para robar información del ordenador, en concreto datos sobre los archivos ejecutables instalados en el ordenador, como nombre del programa, tamaño, fecha de instalación y de modificación, etc.
  • Después, almacena esta información en un archivo de texto para enviarla a su creador posteriormente.

Metodo de Infección 

Sinowal.WUR crea los siguientes archivos:

  • SDRA64.EXE, en el directorio de sistema de Windows.
  • SDSKWA.DLL, en el directorio de Windows.
  • BF9C_APPCOMPAT.TXT, en la ruta C:\Documents and Settings\%nombreusuario%\Configuración Local\Temp. En este archivo almacena la información que ha obtenido.
    donde %nombreusuario% es el nombre de usuario del usuario que haya iniciado sesión.
  • 1.TMP y 2.TMP, en la carpeta Temp del directorio de Windows.

Además, crea una carpeta denominada lowsec en el directorio de sistema de Windows.

 

Sinowal.WUR crea las siguientes entradas en el  Registro de Windows:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
    %ruta en la que el troyano ha sido ejecutado% = 0bxoascoyzzau
  • HKEY_USERS\DEFAULT\Software\Microsoft\Protected Storage System Provider
  • HKEY_USERS\DEFAULT\Software\Microsoft\Protected Storage System Provider\S-1-5-18
  • HKEY_USERS\ S-1-5-18\Software\Microsoft\Protected Storage System Provider
  • HKEY_USERS\ S-1-5-18\Software\Microsoft\Protected Storage System Provider\S-1-5-18
  • HKEY_USERS\ S-1-5-19\Software\Microsoft\Protected Storage System Provider
  • HKEY_USERS\ S-1-5-19\Software\Microsoft\Protected Storage System Provider\S-1-5-19

 

Sinowal.WUR modifica la siguiente entrada del Registro de Windows:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon
    Userinit = %sysdir%\userinit.exe,

    donde %sysdir% es el directorio de sistema de Windows.
    Cambia esta entrada por:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon
    Userinit = %sysdir%\userinit.exe,%sysdir%\sdra64.exe,

    Mediante esta modificación, Sinowal.WUR consigue ejecutarse cada vez que Windows se inicia.

Método de Propagación 

Sinowal.WUR no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, dispositivos extraíbles como llaves USBs, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Otros Detalles  

Sinowal.WUR tiene un tamaño de 132096 Bytes.

>

Soporte técnico

Accesos rápidos

Panda Quick Start

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Panda Desinfección Remota

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info

Panda Optimización Remota

Panda Optimización Remota

Nuestros técnicos revisan tu PC y lo dejan funcionando en óptimas condiciones, como el primer día.
[+] info