Name:Worm/Scano.S
Entdeckt am:26/05/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:18.060 Bytes
MD5 Prüfsumme:47675f28642b095db99b2eae6ecec2bb
VDF Version:6.34.01.143
IVDF Version:6.34.01.148 - Samstag, 27. Mai 2006

 General Verbreitungsmethode:
   • Email


Aliases:
   •  Mcafee: W32/Areses.h
   •  TrendMicro: WORM_ARESES.AC
   •  Sophos: W32/Areses-F
   •  VirusBuster: I-Worm.Scano.O
   •  Eset: Win32/Scano.NAK
   •  Bitdefender: Win32.Scano.N@mm


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt Dateien herunter
   • Verfügt über eigene Email Engine
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\csrss.exe



Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
   • %TEMPDIR%\Message.zip




Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://207.46.250.119/g/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
   • http://www.microsoft.com/g/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
   • http://84.22.161.192/s/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.



Es versucht folgende Dateien auszuführen:

– Dateiname:
   • %SYSDIR%\services.exe
unter Zuhilfenahme folgender Kommandozeilen-Parameter: %WINDIR%\csrss.exe
Wir verwendet um den Prozess vor dem Task Manager zu verstecken.

– Dateiname:
   • %SYSDIR%\svchost.exe
unter Zuhilfenahme folgender Kommandozeilen-Parameter: %WINDIR%\csrss.exe

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe
   • "Debugger"="%WINDIR%\csrss.exe"



Die Werte der folgenden Registry keys werden gelöscht:

–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\
   PendingFileRenameOperations
–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\BootExecute

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Betreff:
Eine der folgenden:
   • Приветик, как твои дел?
   • ЙЫЛЙ?
   • Привет, ты где?
   • Привет, напиши мне!!!
   • Привет! Срочно напиши м!
   • не!
   • дешь?
   • Re: напиши мне!
   • Re: Позвони мне!
   • Re: Ты где?
   • Re: Когда ты мне ответиш
   • Re: Как настроение?
   • Re: Где пропадаешь?



Body:
–  Kann unter Umständen leer sein.

 
Der Body der Email ist einer der folgenden:
   • Привет! Я сегодня жду те
   • Сегодня в интернете бу
   • Когда мне напишишь?
   • Приветик!!! Как настроен


Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • Message.zip
   • File.zip
   • Document.zip
   • README.zip
   • Passwords.zip
   • Readme.zip
   • Important.zip
   • New.zip
   • COOL.zip
   • Archive.zip
   • Fotos.zip
   • private.zip
   • confidential.zip
   • secret.zip
   • images.zip
   • your_documents.zip
   • backup.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.

 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .adb; .asp; .cfg; .cgi; .mra; .dbx; .dhtm; .eml; .htm; .html; .jsp;
      .mbx; .mdx; .mht; .mmf; .msg; .nch; .ods; .oft; .php; .pl; .sht;
      .shtm; .stm; .tbb; .txt; .uin; .wab; .wsh; .xls; .xml; .dhtml


Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • @microsoft; rating@; f-secur; news; update; .qmail; .gif; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      0000; Mailer-Daemon@; @subscribe; kasp; admin; icrosoft; support;
      ntivi; unix; bsd; linux; listserv; certific; torvalds@; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; spm111@;
      .00; abuse; panda; cafee; spam; pgp; @avp.; noreply; local; root@;
      postmaster@

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Irina Boldea am Montag, 30. Oktober 2006
Die Beschreibung wurde geändert von Irina Boldea am Montag, 6. November 2006

zurück . . . .