Trojan/Sinowal.gen

Trojan/Sinowal.gen

Nombre:	Trojan/Sinowal.gen Alias: Win32/PSW.Sinowal.Gen, Trojan-Downloader.Win32.Small.ems, PSW.Generic4.RFZ
Tipo:	Troyano
Tamaño:	32,592 Bytes
Origen:	Internet
Destructivo:	NO
En la calle (in the wild):	SI
Detección y eliminación:	The Hacker 6.1 al 17/06/2007.

Descripción:

Trojan/Sinowal.gen, es un troyano con características de Keylogger, captura información que el usuario ingresa en determinadas páginas Web, para luego enviarlas a su creador.

Cuando el troyano se ejecuta crea los siguientes archivos:

%Archivos de programa%\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.dll
%Archivos de programa%\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe
%Archivos de programa%\Archivos comunes\Microsoft Shared\Web Folders\ibm00002.dll
%Archivos de programa%\Archivos comunes\Microsoft Shared\Web Folders\ibm00002.exe
%Archivos de programa%\Archivos comunes\Microsoft Shared\Web Folders\tmp.tmp
%temp%\clean[xxxx].dll

Nota:

- [xxxx] son caracteres aleatorios.

Finalmente modifica las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

"Shell"="explorer.exe %Archivos de programa%\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"shell"="%Archivos de programa%\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe"

También crea el siguiente servicio de nombre "LDRSVC":

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ldrsvc

"ImagePath"="%temp%\clean[xxxx].dll"

Finalmente el troyano modifica el archivo HOSTS para bloquear el acceso a determinados sitios en Internet.