Name:Worm/Warezov.AM.6
Entdeckt am:29/09/2006
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:204.851 Bytes
MD5 Prüfsumme:632810eabc99e2b9cd6fe57f9da8739e
VDF Version:6.36.00.49
IVDF Version:6.36.00.60 - Dienstag, 26. September 2006

 General Verbreitungsmethode:
   • Email


Aliases:
   •  Mcafee: W32/Stration@MM
   •  Kaspersky: Email-Worm.Win32.Warezov.am
   •  Sophos: W32/Stration-AD
   •  Eset: Win32/Stration.CX


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt Dateien herunter
   • Erstellt schädliche Dateien
   • Verfügt über eigene Email Engine
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Es werden folgende Dateien erstellt:

%SYSDIR%\actxippr.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: WORM/Warezov.AM.5

%SYSDIR%\slbcslay.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: WORM/Warezov.AM.1

%SYSDIR%\acac.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: WORM/Warezov.AM.4

%SYSDIR%\mtxlcomm.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: WORM/Warezov.AM.2

%SYSDIR%\lsaswdmi.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: WORM/Warezov.AM.3




Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://www5.cedesunjerinkas.com/chr/wtb/**********
Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde.

– Die URL ist folgende:
   • http://www.traferreg.com/chr/zzzx/e/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
   • http://www.traferreg.com/chr/zzzx/e/**********


– Die URL ist folgende:
   • http://www.traferreg.com/chr/zzzx/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   acac]
   • "Image"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"
   • "Asynchronous"=dword:00000000
   • "Impersonate"=dword:00000000
   • "Shutdown"="WlxShutdownEvent"
   • "Startup"="WlxStartupEvent"
   • "DllName"="%SYSDIR%\acac.dll"

– [HKLM\Software\Microsoft\scrrnpwm]


Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Neuer Wert:
   • "AppInit_DLLs"=" actxippr.dll lsaswdmi.dll"

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.
Generierte Adressen. Bitte vermuten Sie nicht, dass es des Absenders Absicht war diese Email zu schicken. Es ist möglich, dass er nichts über seine Infektion weiß oder sogar nicht infiziert ist. Des Weiteren ist es möglich, dass Sie Emails bekommen in denen die Rede davon ist, dass Sie infiziert sind was möglicherweise auch nicht stimmt.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Generierte Adressen


Betreff:
Eine der folgenden:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail server report.
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Body:
Der Body der Email ist einer der folgenden:

   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
     addresses
     Please install updates for worm elimination and your computer restoring.
     
     Best regards,
     Customers support service

   • Mail transaction failed. Partial message is available.

   • The message cannot be represented in 7-bit ASCII encoding
     and has been sent as a binary attachment


Dateianhang:
Der Dateiname des Anhangs wird aus folgenden zusammengesetzt:

–  Zufällige Zeichenkette
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text
   • Update-KB%zufällige Wörter%-x86

    Gefolgt von einer der folgenden gefälschen Dateiendungen:
   • dat
   • elm
   • log
   • msg
   • txt
   • zip
   • exe

    Die Dateierweiterung ist eine der folgenden:
   • cmd
   • scr
   • exe
   • pif
   • bat

Der Dateianhang ist eine Kopie der Malware.



Die Email könnte wie eine der folgenden aussehen.



 Hintertür Kontaktiert Server:
Den folgenden:
   • http://www3.cedesunjerinkas.com/cgi-bin/**********

Dies geschieht mittels der HTTP POST Methode unter Verwendung eines PHP Scripts.


Sende Informationen über:
    • Aktueller Malware Status
    • Information über das Windows Betriebsystem

 Injektion –  Es injiziert folgende Datei in einen Prozess: %SYSDIR%\mtxlcomm.dll

    Alle der folgenden Prozesse:
   • iexplore.exe
   • %Prozesse mit sichtbaren Fenstern%


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • MEW

Die Beschreibung wurde erstellt von Monica Ghitun am Freitag, 29. September 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Dienstag, 24. Oktober 2006

zurück . . . .