Name:TR/Dldr.Strationee.C
Entdeckt am:27/08/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:86.071 Bytes
MD5 Prüfsumme:c36a8a8bd64a0C80d227781a864e6ed5
VDF Version:6.35.01.145
IVDF Version:6.35.01.148 - Montag, 28. August 2006

 General Verbreitungsmethode:
   • Email


Aliases:
   •  Symantec: W32.Stration.A@mm
   •  Mcafee: W32/Stration@MM
   •  TrendMicro: WORM_STRATION.F
   •  Sophos: W32/Stration-G
   •  Eset: Win32/Stration.E
   •  Bitdefender: Trojan.Downloader.Strationee.C


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Verfügt über eigene Email Engine
   • Änderung an der Registry


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\svchost32.exe




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • gadesunheranwui.com/chr/jjjk/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\ Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Betreff:
Eine der folgenden:
   • Error
   • picture
   • Status
   • Good day
   • Mail Delivery System
   • Mail Transaction Failed



Body:
Der Body der Email ist einer der folgenden:
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • Mail transaction failed. Partial message is available.


Dateianhang:
Der Dateiname des Anhangs wird aus folgenden zusammengesetzt:

–  Es beginnt mit einer der folgenden:
   • test
   • file
   • doc
   • document
   • message

    Gefolgt von einer der folgenden gefälschen Dateiendungen:
   • dat
   • log
   • msg
   • txt

    Die Dateierweiterung ist eine der folgenden:
   • exe
   • cmd
   • pif

Der Dateianhang ist eine Kopie der Malware.



Die Email sieht wie folgt aus:


 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Irina Boldea am Montag, 23. Oktober 2006
Die Beschreibung wurde geändert von Irina Boldea am Montag, 6. November 2006

zurück . . . .