Name:Worm/Warezov.I.1
Entdeckt am:08/09/2006
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:86.889 Bytes
MD5 Prüfsumme:8420a6819eeb4092039eb4cf88764b3e
VDF Version:6.35.01.196
IVDF Version:6.35.01.200 - Freitag, 8. September 2006

 General Verbreitungsmethode:
   • Email


Aliases:
   •  Mcafee: W32/Stration@MM
   •  TrendMicro: WORM_STRATION.AD
   •  Sophos: W32/Strati-Gen
   •  VirusBuster: trojan Trojan.Opnis.AC
   •  Bitdefender: BehavesLike:Trojan.Downloader


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Es zeigt den Inhalt einer erstellten Bilddatei an:


 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\svchost32.exe



Es wird folgende Datei erstellt:

%Verzeichnis in dem die Malware ausgeführt wurde%\%zufällige Buchstabenkombination%.tmp



Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://gadesunheranwui.com/chr/jjjk/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\~%zweistellige zufällige Buchstabenkombination%.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%WINDIR%\svchost32.exe"

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.


Betreff:
Eine der folgenden:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Body:
–  Kann unter Umständen leer sein.
–  Der Body enthält zufällige Daten.

 
Der Body der Email ist einer der folgenden:
   • Mail transaction failed. Partial messageis available.
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment.


Dateianhang:

–  Zufällige Zeichenkette
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Gefolgt von einer der folgenden gefälschen Dateiendungen:
   • dat
   • elm
   • log
   • msg
   • txt

    Die Dateierweiterung ist eine der folgenden:
   • scr
   • exe
   • bat
   • pif
   • cmd

Der Dateianhang ist eine Kopie der Malware.



Die Email könnte wie eine der folgenden aussehen.



 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • MEW

Die Beschreibung wurde erstellt von Gabriel Mustata am Montag, 16. Oktober 2006
Die Beschreibung wurde geändert von Andrei Gherman am Dienstag, 21. November 2006

zurück . . . .