| Nombre común: Sinowal.VTJ
Nombre técnico: Trj/Sinowal.VTJ
Peligrosidad: Media
Tipo: Troyano
Efectos: Está diseñado para obtener información confidencial del usuario, como contraseñas, datos bancarios u otra información sensible. No se propaga automáticamente por sus propios medios.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 09/09/2008
Detección actualizada: 17/09/2008
Estadísticas No
Protección proactiva: Sí, mediante las Tecnologías TruPrevent
Descripción Breve
Sinowal.VTJ es un troyano diseñado para obtener información confidencial del usuario, como contraseñas, datos bancarios u otra información sensible.
Para ello, busca información almacenada en el ordenador y en las cookies de Internet Explorer.
Sinowal.VTJ no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación.
Efectos
El objetivo de Sinowal.VTJ es robar información confidencial del usuario afectado. Para ello, busca información de la siguiente manera:
Busca en el ordenador datos almacenados como contraseñas, nombres de usuario, direcciones de correo electrónico, etc.
Accede a las cookies de Internet Explorer para conseguir la información almacenada en ellas.
Metodo de Infección
Sinowal.VTJ crea los siguientes archivos:
OEMBIOS.EXE, en el directorio de sistema de Windows. Este archivo es una copia de sí mismo.
SYSPROC32.SYS y SYSPROC86.SYS, en la carpeta sysproc64, creada por él mismo, en el directorio de sistema de Windows.
Sinowal.VTJ crea la siguiente entrada en el Registro de Windows:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ WindowsNT\ CurrentVersion\ Winlogon
Userinit = %sysdir%\oembios.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, Sinowal.VTJ consigue ejecutarse automáticamente cada vez que Windows se inicia.
Método de Propagación
Sinowal.VTJ llega al ordenador en un mensaje de correo electrónico en inglés con las siguientes características:
Asunto: I am wait your reply
Mensaje:
To Whom It May Concern: To Whom It May Concern:
I am tired of receiving messages containing malicious computer programs (viruses) from your e-mail address!!! I am tired of receiving messages containing malicious computer programs (viruses) from your e-mail address!
If within 1-2 days you do not stop sending messages to my e-mail address, I will have to address this issue to the Police!… If within 1-2 days you do not stop sending messages to my e-mail address, I will have to address this issue to the Police!…
Today I received a hard copy of your data logs from my Internet service provider. Today I received a hard copy of your data logs from my Internet service provider. The copy contains your IP address, logs of sending malicious programs and your e-mail address details… The copy contains your IP address, logs of sending malicious programs and your e-mail address details…
I am sending you the copy of the document containing your data and logs of sending malicious programs as the proof of your fault!!!!!! I am sending you the copy of the document containing your data and logs of sending malicious programs as the proof of your fault !!!!!!
You must print the document containing the list of your data and logs of sending malicious programs and pass it on to your Internet service provider with, so that they could find out why the viruses are sent from your computer to my e-mail address!!!! You must print the document containing the list of your data and logs of sending malicious programs and pass it on to your Internet service provider with, so that they could find out why the viruses are sent from your computer to my e-mail address! !
Ask your Internet service provider to resolve this problem!!!! Ask your Internet service provider to resolve this problem!!
Do this now!!! Do this now!
Once again!!! Once Again! If you dont stop sending the letters, I will address to the Police and file a lawsuit against you!!! If you dont stop sending the letters, I will address to the Police and file a lawsuit against you!
En el mensaje una persona anónima recrimina al usuario diciendo que ha recibido mensajes con virus enviados desde su dirección de correo y amenaza con avisar a la policía si no deja de recibir estos mensajes.
Además, engaña al usuario diciendo que tiene una prueba que demuestra el envío de dichos mensajes y le solicita que imprima el documento que se adjunta en el mensaje y se lo envíe a su ISP (Internet Service Provider) para que solucione el problema.
Archivo adjunto:
El mensaje contiene un archivo adjunto comprimido en ZIP. Una vez descomprimido, se hace pasar por un documento en pdf para engañar al usuario.
Si este archivo es ejecutado, se descargará una copia de Sinowal.VTJ en el ordenador afectado.
Sin embargo, Sinowal.VTJ no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Otros Detalles
Sinowal.VTJ tiene un tamaño de 81408 Bytes.
|
|
