Sinowal.WUR
PeligrosidadDañoPropagación

Efectos 

Sinowal.WUR realiza las siguientes acciones:

• Llega al ordenador en un mensaje de correo electrónico en inglés que parece haber sido enviado por el equipo de Facebook.
• El asunto del mensaje puede ser uno de los siguientes, entre otros:
  Facebook Account Update
  Facebook Update Tool
• En el mensaje se informa al usuario que se va a implantar un nuevo sistema de registro y se le solicita que actualice su cuenta. Este mensaje contiene varios enlaces que apuntan a la descarga del troyano.
• El siguiente es un ejemplo del correo electrónico en el que llega Sinowal.WUR:
  
  
• Si el usuario pulsa sobre alguno de los enlaces del mensaje, se descarga un archivo comprimido con extensión zip y de nombre aleatorio como el siguiente:
  
  
• Cuando este archivo es ejecutado, el ordenador queda infectado por Sinowal.WUR, que está diseñado para robar información del ordenador, en concreto datos sobre los archivos ejecutables instalados en el ordenador, como nombre del programa, tamaño, fecha de instalación y de modificación, etc.
• Después, almacena esta información en un archivo de texto para enviarla a su creador posteriormente.

Metodo de Infección 

Sinowal.WUR crea los siguientes archivos:

• SDRA64.EXE, en el directorio de sistema de Windows.
• SDSKWA.DLL, en el directorio de Windows.
• BF9C_APPCOMPAT.TXT, en la ruta C:\Documents and Settings\%nombreusuario%\Configuración Local\Temp. En este archivo almacena la información que ha obtenido.
  donde %nombreusuario% es el nombre de usuario del usuario que haya iniciado sesión.
• 1.TMP y 2.TMP, en la carpeta Temp del directorio de Windows.

Además, crea una carpeta denominada lowsec en el directorio de sistema de Windows.

Sinowal.WUR crea las siguientes entradas en el  Registro de Windows:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
  %ruta en la que el troyano ha sido ejecutado% = 0bxoascoyzzau
• HKEY_USERS\DEFAULT\Software\Microsoft\Protected Storage System Provider
• HKEY_USERS\DEFAULT\Software\Microsoft\Protected Storage System Provider\S-1-5-18
• HKEY_USERS\ S-1-5-18\Software\Microsoft\Protected Storage System Provider
• HKEY_USERS\ S-1-5-18\Software\Microsoft\Protected Storage System Provider\S-1-5-18
• HKEY_USERS\ S-1-5-19\Software\Microsoft\Protected Storage System Provider
• HKEY_USERS\ S-1-5-19\Software\Microsoft\Protected Storage System Provider\S-1-5-19

Sinowal.WUR modifica la siguiente entrada del Registro de Windows:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon
  Userinit = %sysdir%\userinit.exe,
  donde %sysdir% es el directorio de sistema de Windows.
  Cambia esta entrada por:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon
  Userinit = %sysdir%\userinit.exe,%sysdir%\sdra64.exe,
  Mediante esta modificación, Sinowal.WUR consigue ejecutarse cada vez que Windows se inicia.

Método de Propagación 

Sinowal.WUR no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, dispositivos extraíbles como llaves USBs, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Otros Detalles  

Sinowal.WUR tiene un tamaño de 132096 Bytes.