A Sinowal.XBY féreg elektronikus levelekben terjed, és a felhasználók megtévesztésével igyekszik minél több banki adatot összegyűjteni, illetve kiszivárogtatni.

A Sinowal.XBY céljai az előző variánsaihoz képest szinte semmit sem változtak. A kártékony program továbbra is az adathalászok tevékenységét igyekszik szolgálni azzal, hogy megtévesztő módon banki információkat igyekszik bezsebelni.

Az Isidor Biztonsági Központ jelentése szerint a féreg elsősorban elektronikus levelekben érkezik meg a postafiókokba. Az e-mailek üzenete szerint a címzett bankszámláján egy bizonyos pénzösszeg került jóváírásra, és a tranzakció részletei a levélben szereplő linkre való kattintással tekinthető meg. Amikor azonban a felhasználó erre a hivatkozásra kattint, akkor egy kártékony weboldal nyílik meg, amelyről egy DECLARACIÓN.EXE nevű fájl töltődik le. Amennyiben ez valamilyen módon elindításra kerül, akkor a számítógép azonnal megfertőződik. Ezután a féreg elkezdi a bizalmas adatok gyűjtését, és azok továbbítását a terjesztői számára.

A fertőzött elektronikus levelek tárgya lehet: "Aviso importante" vagy "Transferencia de xxxxxxxx euros. Remitente: xxxxxxxx". A feladó látszólag mindig egy bank, amelynek a nevét folyamatosan változtatják a Sinowal írói.

Amikor a Sinowal.XBY féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. A "Documents and Settings" mappában létrehoz két véletlenszerű fájlnévvel ellátott könyvtárat, amelyekbe két - szintén véletlenszerű névvel rendelkező - állományt másol be.

2. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Privacy\CleanCookies = 00,00,00,00

3. A regisztrációs adatbázis alábbi kulcsában számos bejegyzést módosít:
 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\

4. Megjelenít egy adathalász célokat szolgáló banki weboldalt.

5. Megpróbál bizalmas adatokat összegyűjteni, amelyeket egy előre létrehozott fájlba ment el.

6. Az összegyűjtött adatokat továbbítja a terjesztői számára.

Ha tetszett a cikk, oszd meg ismerőseiddel is a legnépszerűbb közösségi oldalakon (klikk a gombra):

A hír megjelenését a Biztonságportál támogatta.