Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Trojan.W32/Sincom.C

Alias:
Win32.Sincom.C (Computer Associates), PWS-Sincom.dll, (Computer Associates), Trojan.PSW.Tiant.f (Kaspersky (viruslist.com)), PWSteal.Lemir.gen (Symantec), PWSteal.Lemir.gen (McAfee)

Descripción:
Sincom.C es un troyano ladrón de contraseñas. Debido al método que usa para instalarse en máquinas afectadas, podría difundirse involuntariamente por unidades de red mapeadas.

Consta de dos componentes. El principal, normalmente llamada Win2003.exe o Explorer.exe, ocupa 29.696 bytes comprimido con UPX. El segundo componente es una dll con un nombre generado aleatoriamente con 4 o 5 números. Ocupa 49.152 bytes y funciona como un gancho de windows para atrapar actividades del sistema.

Detalles:
Método de Instalación

Una vez activa, el troyano busca y ejecuta los ficheros d:\Explorer.exe, e:\Explorer.exe y c:\Explorer.exe, asumiendo que son el suyo. Crea dos semáforos llamados "newsuper1.0" "newsuper1.0back" para evitar ejecutar múltiples instancias del troyano.

Se copia como %Windows%\Win2003.exe, marca este fichero como oculto, y crea una entrada en el registro para engancharse al inicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
win2003 = "%Windows%\win2003.exe"

También se copia como D:\EXPLORER.EXE y E:\EXPLORER.EXE junto con Autorun.inf configurado para ejecutarlos. Un subproceso distinto es iniciado para comprobar y copiar estos ficheros cada 5 segundos. Si estas unidades están mapeadas a carpetas de red compartidas en otras máquinas, podría ocurrir que el gusano se difundiera por la red.

El troyano mantiene la ruta a su ejecutable en un fichero llamado "%Windows%\OK".

El gancho de Windows es entonces colocado en el directorio de sistema y activado.

A continuación, el troyano visita gun.sup**way.net cada 5 segundos para pedir instrucciones adicionales.

Robo de contraseñas

El gancho de Windows provee de la rutina de robo de contraseñas. Busca las siguientes ventanas y extrae información de su memoria de proceso:

  • Un nombre en chino, aproximadamente traducible como "Cliente de Leyenda"
  • "legend of mir2"
  • "Legend Of Mir 3"
  • "ActiveMovie Window"
  • "Lineage Windows Client"

También busca procesos con los siguientes nombres y busca en su memoria de proceso:

  • "main.exe"
  • "mu.exe"
Además de usar WIN.INI para almacenamiento de datos, crea esta clave del registro para almacenar información recogida de la máquina infectada:

HKCC\GAME\MU

La información recogida es mandada a "likun.w**.1358.net" mediante una conexión HTTP.

También puede descargar y ejecutar un fichero de up.sup**way.net, con lo que puede comprometer aún más el sistema infectado.

Terminación de procesos: Si se encuentran, estos dos procesos son terminados y los ficheros son eliminados de la máquina infectada:

  • EGhost.exe
  • PasswordGuard.exe
Procesos con los siguientes nombres son terminados:
  • pfw.exe
  • Iparmor.exe
  • EGhost.exe
  • PasswordGuard.exe
  • DFVSNET.EXE
  • kvfw.exe
  • kvapfw.exe

Solución:

  • Uso de antivirus actualizado.

Más información acerca de este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados