Nume:Worm/Womble.A
Descoperit pe data de:29/08/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Mediu
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu
Fisier static:Nu
Marime:79.360 Bytes
Versiune VDF:6.35.01.156
Versiune IVDF:6.35.01.159 - Mittwoch, 30. August 2006
Euristica:HEUR/Crypted.Patched

 General Metode de raspandire:
   • Email
   • Reteaua locala


Alias:
   •  Symantec: W32.Womble.A@mm
   •  Kaspersky: Email-Worm.Win32.Womble.a
   •  TrendMicro: WORM_WOMBLE.A
   •  Sophos: W32/Womble-B
   •  VirusBuster: iworm I-Worm.Womble.A
   •  Bitdefender: Win32.Womble.A@mm


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Utilizeaza propriul motor de email
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer




   %text1%:
   -about_windows
   -antispam
   -congratulations
   -firefox_update
   -free_anti_spyware
   -free_antivirus
   -google_info
   -google_tool
   -google_update
   -ie_update
   -java_update
   -inet
   -mail_control
   -mails_list
   -ms_office_update
   -net_update
   -new_picture
   -new_win_patch
   -picture
   -remove_spyware
   -some_info
   -www
   -yahoo_info
   -yahoo_tool
   -your_friends
   
   %text2%:
   -dvd
   -dvd_info
   -free
   -h_core
   -l_this
   -lunch
   -mp3
   -new_mp3
   -new_video
   -photo
   -sh_docs
   -take_it
   -video
   -xxx

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\%fisier executat%
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.exe
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.pif
   • \\%calculatoarele din domeniul curent%\%directoare partajate din retea%\%text1%.exe
   • \\%calculatoarele din domeniul curent%\%directoare partajate din retea%\%text1%.pif



Sunt create fisierele:

– %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.wmf Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: EXP/MS06-001.WMF

– %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.jpg Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: EXP/MS06-001.WMF

– \\%calculatoarele din domeniul curent%\%directoare partajate din retea%\%text1%.wmf Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: EXP/MS06-001.WMF

– \\%calculatoarele din domeniul curent%\%directoare partajate din retea%\%text1%.jpg Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: EXP/MS06-001.WMF

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe %spatii libere% %SYSDIR%\%fisier executat%"
   • "Userinit"="%SYSDIR%\userinit.exe %spatii libere% ,%SYSDIR%\%fisier executat%"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ms_net_update"="%SYSDIR%\%fisier executat%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ms_net_update"="%SYSDIR%\%fisier executat%"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares]
   • "%text2%"=
"CSCFlags=0
MaxUses=1000
Path=%HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%
Permissions=127
Type=0"

– [HKLM\SOFTWARE\WinUpdate]
   • "Version"=dword:00000003

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
De la: Adresa expeditorului este chiar contul Outlook al utilizatorului


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)


Subiect:
Unul din urmatoarele:
   • !!; Action; Bush; FIFA; Helo; Hi; important; Incredible!!; info; Kiss;
      Laura; Laura and John; Lola; Look at this!!!; Miss Khan; Nataly; Ola;
      Olympus; Paula; pic; pics; private; private pics; Re:; Re: hi; Re:
      info; RE: pic; read this; Robert; Sex



Corpul email-ului:
Corpul email-ului este unul din textele:

   • ---------------------------------------------------
     
     There is some info in the attached file !!!
     
     ---------------------------------------------------
     

   • -----------------------------
     
     Zip P A S S : %sir de 9 caractere aleatoare%
     
     -----------------------------
     


Atasament:
Numele fisierelor atasate este alcatuit dupa cum urmeaza:

–  Incepe cu unul din urmatoarele:
   • %text%

continuand cu una din urmatoarele:
   • exe
   • pif

    Continuand cu una din urmatoarele:
   • zip

–  Incepe cu unul din urmatoarele:
   • %text1%

continuand cu una din urmatoarele:
   • exe
   • jpg
   • pif
   • wmf

    Continuand cu una din urmatoarele:
   • passw
   • psw

    Urmat de una din urmatoarele extensii false:
   • zip

Atasamentul este o arhiva ce contine chiar o copie malware.

Atasamentul este o copie a fisierului creat: %text1%.jpg; %text1%.wmf



Email-ul poate arata ca unul din urmatoarele:



 Backdoor Servere contactate:
Urmatoarele:
   • http://support.365soft.info/**********
   • http://support.365soft.info/**********
   • http://support.software602.com/**********
   • http://support.software602.com/**********
   • http://anyproxy.net/**********
   • http://anyproxy.net/**********
   • http://support.enviroweb.org/**********
   • http://support.enviroweb.org/**********
   • http://support.nikontech.com/**********
   • http://support.nikontech.com/**********
   • http://email-support.seekful.com/**********
   • http://email-support.seekful.com/**********
   • http://mymail.100hotmail.com/**********
   • http://mymail.100hotmail.com/**********

Astfel se pot transmite informatii si se poate obtine control la distanta. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.


Trimte informatii despre:
    • Statusul actual al malware-ului


Posibilitati de control la distanta:
    • descarcare fisier

 Alte informatii Conexiune internet:
Pentru a verifica legatura la internet se conecteaza la urmatoarele servere DNS:
   • *.GTLD-SERVERS.net
   • *.root-servers.net
   • *.DE.NET
   • *.NIC.DE


Cauta o conexiune Internet, contactand urmatorul website:
   • http://www.sun.com/index.html


Mutex:
Creeaza urmatorul mutex:
   • wmf.mtx.3

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Die Beschreibung wurde erstellt von Andrei Ivanes am Dienstag, 29. August 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Donnerstag, 31. August 2006

zurück . . . .