Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Sinowal.WUZ está diseñado para obtener información confidencial del ordenador y del usuario afectado relacionada con la banca online. Los troyanos pertenecientes a esta familia habitualmente tienen como objetivo conseguir datos bancarios, como nombres de usuario, contraseñas, números de tarjetas de crédito.
Además, establece conexiones con las siguientes páginas web y direcciones IP que le permiten monitorizar y conectarse al equipo afectado:
http://nek<bloqueado>o.ru
109.9<bloqueado>4.70
74.12<bloqueado>7.100
67.2<bloqueado>46.218
Metodo de Infección
Sinowal.WUZ crea las siguientes carpetas en el directorio de sistema de Windows:
Además, crea los siguientes archivos:
- SDRA64.EXE, TWEXT.EXE, SERVICES.EXE, LSASS.EXE, SVCHOST.EXE y ALG.EXE, en el directorio de sistema de Windows. Estos archivos son copias de sí mismo.
- LOCAL.DS, USER.DS y USER.DS.LLL, en la carpeta lowsec creada en el directorio de sistema de Windows.
Sinowal.WUZ crea las siguientes entradas en el Registro de Windows:
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{5BB339E3-D756-294B-3141-1D213AD3A7A6}
- HKEY_CLASSES_ROOT\idid
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Hxegilunutow
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network
UID = %nombre de la máquina%"
Sinowal.WUZ modifica las siguientes entradas del Registro de Windows:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon
Userinit = %sysdir%\userinit.exe,
donde %sysdir% es el directorio de sistema de Windows.
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon
Userinit = %sysdir%\userinit.exe,%sysdir%\sdra64.exe, - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon
Userinit = %sysdir%\userinit.exe,
donde %sysdir% es el directorio de sistema de Windows.
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon
Userinit = %sysdir%\userinit.exe,%sysdir%\twext.exe,
Mediante estas modificaciones, Sinowal.WUZ consigue ejecutarse cada vez que Windows se inicia. - HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
ProxyEnable = 0x00000001
Cambia esta entrada por:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
ProxyEnable = 0x00000000
Deshabilita el proxy si estuviera habilitado.
Método de Propagación
Sinowal.WUZ no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, unidades extraíbles, como llaves USB, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Otros Detalles
Sinowal.WUZ está escrito en el lenguaje de programación Delphi. Este troyano tiene un tamaño de 373248 Bytes.