Nume:Worm/Scano.H
Descoperit pe data de:07/09/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:18.004 Bytes
MD5:9ede491e633d75a3231130736f730459
Versiune VDF:6.35.01.192
Versiune IVDF:6.35.01.196 - Freitag, 8. September 2006

 General Metoda de raspandire:
   • Email


Alias:
   •  Symantec: W32.Beagle.EG@mm
   •  Mcafee: W32/Areses.h
   •  TrendMicro: WORM_ARESES.AC
   •  Sophos: W32/Areses-C
   •  VirusBuster: I-Worm.Scano.G
   •  Eset: Win32/Scano.R

Initial identificat ca:
   •  W32/Areses.H


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Utilizeaza propriul motor de email
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\csrss.exe



Se copiaza intr-o arhiva in urmatoarea locatie:
   • %TEMPDIR%\Message.zip




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://207.46.250.119/g/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresa este urmatoarea:
   • http://www.microsoft.com/g/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresa este urmatoarea:
   • http://84.22.161.192/s/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe
   • "Debugger"="%WINDIR%\csrss.exe"



Valorile urmatoarelor chei sunt sterse din registrii sistemului:

–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\
   PendingFileRenameOperations
–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\BootExecute

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)


Subiect:
Unul din urmatoarele:
   • Приветик, как твои дел?
   • ЙЫЛЙ?
   • Привет, ты где?
   • Привет, напиши мне!!!
   • Привет! Срочно напиши м!
   • не!
   • дешь?
   • Re: напиши мне!
   • Re: Позвони мне!
   • Re: Ты где?
   • Re: Когда ты мне ответиш
   • Re: Как настроение?
   • Re: Где пропадаешь?



Corpul email-ului:
–  Uneori corpul email-ului este gol.

 
Corpul email-ului este unul din textele:
   • Привет! Я сегодня жду те
   • Сегодня в интернете бу
   • Когда мне напишишь?
   • Приветик!!! Как настроен


Atasament:
Numele fisierului atasat este unul din urmatoarele:
   • Message.zip
   • File.zip
   • Document.zip
   • README.zip
   • Passwords.zip
   • Readme.zip
   • Important.zip
   • New.zip
   • COOL.zip
   • Archive.zip
   • Fotos.zip
   • private.zip
   • confidential.zip
   • secret.zip
   • images.zip
   • your_documents.zip
   • backup.zip

Atasamentul este o arhiva ce contine chiar o copie malware.

 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • .adb; .asp; .cfg; .cgi; .mra; .dbx; .dhtm; .eml; .htm; .html; .jsp;
      .mbx; .mdx; .mht; .mmf; .msg; .nch; .ods; .oft; .php; .pl; .sht;
      .shtm; .stm; .tbb; .txt; .uin; .wab; .wsh; .xls; .xml; .dhtml


Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • @microsoft; rating@; f-secur; news; update; .qmail; .gif; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      0000; Mailer-Daemon@; @subscribe; kasp; admin; icrosoft; support;
      ntivi; unix; bsd; linux; listserv; certific; torvalds@; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; spm111@;
      .00; abuse; panda; cafee; spam; pgp; @avp.; noreply; local; root@;
      postmaster@

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %WINDIR%\csrss.exe

    Urmatoarele procese:
   • services.exe
   • svchost.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Irina Boldea am Montag, 28. August 2006
Die Beschreibung wurde geändert von Irina Boldea am Dienstag, 3. Oktober 2006

zurück . . . .