Nume:Worm/Soccer.A.1
Descoperit pe data de:19/06/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:39.904 Bytes
MD5:18dae171a9bd885fbc83e89af23d0072
Versiune VDF:6.35.00.43
Versiune IVDF:6.35.00.50 - Mittwoch, 21. Juni 2006
Euristica:HEUR/Malware.Crypted.PSM

 General Metoda de raspandire:
   • Email


Alias:
   •  Kaspersky: Email-Worm.Win32.Delf.v
   •  Sophos: W32/Sixem-A
   •  VirusBuster: I-Worm.Delf.QWI


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Utilizeaza propriul motor de email
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\msctools.exe



Sunt create fisierele:

– Un fisier care contine adrese de e-mail:
   • %SYSDIR%\cats2.jpg

– Un fisier temporar care poate fi sters dupa aceea:
   • %SYSDIR%\cats.jpg




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://couplesexxx.com/tumbs/**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\temps%cateva cifre aleatoare%.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Delf.apo

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "nsdevice"="%SYSDIR%\msctools.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "nsdevice"="%SYSDIR%\msctools.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "nsdevice"="%SYSDIR%\msctools.exe"



Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL]
   • "mls"="%numar%"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


Catre:
– Adrese de email gasite pe sistem.


Formatul email-urilor:
 


De la: newsreader@hotmail.com
Subiect: Naked World Cup game set
Corp mesaj:
   • Nudists are organising their own tribute to the world cup, by staging their own nude soccer game, though it is not clear how the teams will tell each other apart. Good photos ;)
Atasament:
   • soccer_nudist.bmp.exe
 


De la: todaynews@cnn.com
Subiect: Crazy soccer fans
Corp mesaj:
   • Crazy soccer fans killed two teens, watch what they make on photos. Please report on this all who know.
Atasament:
   • soccer_pics.jpg.exe
 


De la: kellyjast@hotmail.com
Subiect: Please reply me Tomas
Corp mesaj:
   • Halo Markus, i sent my nude pics. Please reply me with you nude photos ;). Best regard You Sweet Kitty
Atasament:
   • kelly_nude_imgs.jpg.exe
 


De la: hotnews@cnn.com
Subiect: Soccer fans killed five teens
Corp mesaj:
   • Soccer fans killed five teens, watch what they make on photos. Please report on this all who know.
Atasament:
   • soccer_fans.jpg.exe
 


De la: lindasal@gmail.com
Subiect: My tricks for you
Corp mesaj:
   • I wait you photos from New York. I sent my pics where i naked for you. Please reply me. Linda Salivan
Atasament:
   • linda_bigtit.gif.exe

Atasamentul este o copie malware.



Email-ul poate arata ca unul din urmatoarele:




 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • wab; adb; msg; dbx; mbx; mdx; eml; nch; txt; tbb; tbi; html; htm; xml;
      doc; rtf; xls; sht


Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • abuse; admin; webmaster; support; submit; service; sendmail; secur;
      samples; ripe.; privacy; postmaster; panda; nothing; nodomai; nobody;
      mydomai; mozilla; linux; kernel; inpris; icrosof; ibm.com; google;
      example; contact; certific; borlan; berkeley; anyone; policy; apache;
      webmin; webmist; random; local; anonymous; addres; defend; kaspersk;
      mcafee; microsof; norton; symantec; virus; reply; report

 Terminarea proceselor Lista cu procesele oprite:
   • _AVP32.EXE; _AVPCC.EXE; _AVPM.EXE; AVP32.EXE; AVPCC.EXE; AVPM.EXE;
      AVP.EXE; iamapp.exe; iamserv.exe; FRW.EXE; blackice.exe; blackd.exe;
      zonealarm.exe; vsmon.exe; VSHWIN32.EXE; VSECOMR.EXE; WEBSCANX.EXE;
      AVCONSOL.EXE; VSSTAT.EXE; OUTPOST.EXE; REGEDIT.EXE; NETSTAT.EXE;
      TASKMGR.EXE; MSCONFIG.EXE; NAVAPW32.EXE; NAVW32.EXE; UPDATE.EXE


 Backdoor Servere contactate:

   • http://sextraf.com/ms/**********

Astfel se pot transmite informatii. Aceasta se face prin metoda HTTP POST, folosind un script PHP.


Trimte informatii despre:
    • Adresele de email colectate

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • FSG

Die Beschreibung wurde erstellt von Victor Tone am Montag, 19. Juni 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Mittwoch, 21. Juni 2006

zurück . . . .