Nume:Worm/Small.B.3
Descoperit pe data de:03/06/2006
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:119.296 Bytes
MD5:58180E0Dd5ff2df69979336c343e32f0
Versiune VDF:6.34.01.182
Versiune IVDF:6.34.01.188 - Dienstag, 6. Juni 2006

 General Metoda de raspandire:
   • Email


Alias:
   •  Kaspersky: Email-Worm.Win32.Small.b
   •  TrendMicro: WORM_SMALL.MS
   •  Eset: Win32/PSW.Delf.NAM
   •  Bitdefender: Win32.Olia.A@mm


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Creeaza un fisier malware
   • Utilizeaza propriul motor de email
   • Modificari in registri
   • Sustrage informatii


Imediat dupa lansarea in executie, pe ecran este afisat:


 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\krnl32.dll
   • %directorul de activare malware%\photos.exe



Sunt create fisierele:

– Fisiere inofensive:
   • %SYSDIR%\photo1.jpg
   • %SYSDIR%\photo2.jpg
   • %SYSDIR%\photo3.jpg
   • %setarile utilizatorului%\photo1.jpg
   • %setarile utilizatorului%\photo2.jpg
   • %setarile utilizatorului%\photo3.jpg

– %SYSDIR%\krnl32.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Small.B.4

%directorul de activare malware%\~$run.$$$ Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Small.B.4

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • %SYSDIR%\krnl32.exe

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:
Poate trimite emailuri cu informatii despre sistem. Destinatarul este cel mai probabil autorul.


De la:
Expeditorul email-ului este unul din urmatorii:
   • Olia-muk@rambler.ru
   • ZanOlia@rambler.ru
   • oliechka84@rambler.ru


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)
– Adrese generate


Subiect:
Urmatorul:
   • %text in limba rusa% %data curenta% %ora curenta%



Corpul email-ului:
Corpul email-ului este:
   • %text in limba rusa%


Atasament:

   • photos.exe

   • photo1.jpg

   • photo2.jpg

   • photo3.jpg


 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • %temporary internet files%\*.htm
   • %temporary internet files%\*.html
   • %temporary internet files%\*.shtml
   • %temporary internet files%\*.phtml
   • %temporary internet files%\*.php
   • %temporary internet files%\*.txt
   • %temporary internet files%\*.pas
   • %temporary internet files%\*.tmp


Server MX:
Nu foloseste serverul MX implicit.
Se poate conecta la serverul MX:
   • mail.rambler.ru

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole stocate, folosite de functia AutoComplete
– Informatii despre contul de email, obtinute din cheia de registru: HKCU\SoftwareMicrosoft\Internet Account Manager\Accounts

– Parolele din urmatoarele programe:
   • The Bat!
   • Opera

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, sunt folosite urmatoarele programe de arhivare:
   • ASPack
   • UPX

Die Beschreibung wurde erstellt von Andrei Gherman am Freitag, 9. Juni 2006
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 9. Juni 2006

zurück . . . .