Nume:Worm/Warezov.I.1
Descoperit pe data de:08/09/2006
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Scazut
Fisier static:Da
Marime:86.889 Bytes
MD5:8420a6819eeb4092039eb4cf88764b3e
Versiune VDF:6.35.01.196
Versiune IVDF:6.35.01.200 - Freitag, 8. September 2006

 General Metoda de raspandire:
   • Email


Alias:
   •  Mcafee: W32/Stration@MM
   •  TrendMicro: WORM_STRATION.AD
   •  Sophos: W32/Strati-Gen
   •  VirusBuster: trojan Trojan.Opnis.AC
   •  Bitdefender: BehavesLike:Trojan.Downloader


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Afiseaza continutul fisierului imagine creat:


 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\svchost32.exe



Este creat fisierul:

%directorul de activare malware%\%combinatie de caractere aleatoare%.tmp



Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://gadesunheranwui.com/chr/jjjk/**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\~%combinatie de doua caractere aleatoare%.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Se adauga in registrii sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%WINDIR%\svchost32.exe"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Catre:
– Adrese de email gasite pe sistem.


Subiect:
Unul din urmatoarele:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corpul email-ului:
–  Uneori corpul email-ului este gol.
–  Corpul email-ului contine caractere aleatoare.

 
Corpul email-ului este unul din textele:
   • Mail transaction failed. Partial messageis available.
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment.


Atasament:

–  Sir de caractere aleator
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Urmat de una din urmatoarele extensii false:
   • dat
   • elm
   • log
   • msg
   • txt

    Extensia fisierului este una din urmatoarele:
   • scr
   • exe
   • bat
   • pif
   • cmd

Atasamentul este o copie malware.



Email-ul poate arata ca unul din urmatoarele:



 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • MEW

Die Beschreibung wurde erstellt von Gabriel Mustata am Montag, 16. Oktober 2006
Die Beschreibung wurde geändert von Andrei Gherman am Dienstag, 21. November 2006

zurück . . . .