Name:TR/Dldr.Warezov.EM
Entdeckt am:26/10/2006
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:64.512 Bytes
MD5 Prüfsumme:be23f1ee949cdec4ed28783349501a74
VDF Version:6.36.01.120
IVDF Version:6.36.01.125 - Montag, 4. Dezember 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: W32/Stration@MM
   •  Kaspersky: Email-Worm.Win32.Warezov.em
   •  TrendMicro: WORM_STRAT.FM
   •  F-Secure: Email-Worm.Win32.Warezov.em
   •  Sophos: W32/Stratio-BG
   •  Grisoft: I-Worm/Stration.XO
   •  Eset: Win32/Stration.MB
   •  Bitdefender: Win32.Warezov.BF@mm

Wurde zuvor wie folgt erkannt:
   •  Worm/Warezov.EM


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine Dateien herunter
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\slbrmqtr.exe



Es werden folgende Dateien erstellt:

%SYSDIR%\icmpdx3j.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Warezov.EM.2

%SYSDIR%\wshnseri.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Stration.AG.2

%SYSDIR%\avifipxr.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Stration.AG

%SYSDIR%\e1.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Warezov.EM.1




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://www5.fandesjinkderunha.com/chr/829/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "slbrmqtr"="%SYSDIR%\slbrmqtr.exe"



Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Alter Wert:
   • "AppInit_DLLs"=""
   Neuer Wert:
   • "AppInit_DLLs"=" icmpdx3j.dll e1.dll"

 Hintertür Kontaktiert Server:
Den folgenden:
   • http://www3.fandesjinkderunha.com:80/cgi-bin/**********

Hierdurch können Informationen gesendet werden. Dies geschieht mittels der HTTP POST Methode unter Verwendung eines CGI Scripts.

 Injektion –  Es injiziert folgende Datei in einen Prozess: avifipxr.dll

    Prozessname:
   • %Prozesse mit sichtbaren Fenstern%


 Datei Einzelheiten Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Adriana Popa am Donnerstag, 30. November 2006
Die Beschreibung wurde geändert von Adriana Popa am Montag, 4. Dezember 2006

zurück . . . .