|
Troj/Sinowal.CI
Sinowal.CI es un destructivo troyano reportado el 04 de Mayo del 2008 que se propaga a través de servicios de Internet, tales como Telnet o acompañado dentro de otros "malwares". Contiene un componente Rootkit.Se copia al Master Boot Record y modifica sectores de las unidades de disco.
Infecta Windows 95/98/Me/NT/2000/XP y Server 2003 está desarrollado en Visual C++, con una extensión de 215KB y encriptado con rutinas propias.
Al ingresar a un sistema se copia al MBR (Master Boot Record) de la unidad de disco de Inicio que por lo general es C:\ y que al sobre-escribirlo modifica el Inicio del sistema.
Para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
{DEF85C80-216A-43ab-AF70-1665EDBE2780}]
"ImagePath" =
"\??\%Temp%\[número_aleatorio].tmp"
Al siguiente inicio del equipo su "Rootkit" modifica sectores de las unidades de disco y luego éste se engancha al DRIVER.SYS para proteger a los sectores modificados de las operaciones de lectura/escritura de los software antivirus.
PER ANTIVIRUS® versiones X4 y X5 con registro de virus al 04 de Mayo del 2008 detecta y elimina este troyano.
