TR/Dldr.Stration.C - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Dldr.Stration.C
Entdeckt am:	19/10/2006
Art:	Trojan
Nebenart:	Downloader
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Mittel bis hoch
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Nein
Dateigröße:	~30.000 Bytes
VDF Version:	6.36.00.129 - Thu, 19 Oct 2006 01:31 (GMT+1)
IVDF Version:	6.36.00.146 - Sat, 21 Oct 2006 14:15 (GMT+1)
Heuristik:	HEUR/Crypted

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Alias:
   • Mcafee: W32/Stration.dr
   • Kaspersky: Email-Worm.Win32.Warezov.dc
   • Sophos: W32/Stratio-AW
   • VirusBuster: Trojan.Opnis.EM
   • Bitdefender: Trojan.Downloader.AOW

Wurde zuvor wie folgt erkannt:
   • Worm/Marmota.B

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine schädliche Dateien herunter

Nach Aktivierung wird folgende Information angezeigt:

Nach Aktivierung wird ein Windows Programm gestartet welches folgendes Fenster anzeigt:

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\%zufällige Buchstabenkombination%.exe

Es wird folgende Datei erstellt:

– Nicht virulente Datei:
   • %Verzeichnis in dem die Malware ausgeführt wurde%\%zufällige
      Buchstabenkombination%.tmp

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://www6.vedasetionkderun.com/819/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\~%Nummer%.tmp Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Stration.C

Email Die Malware verfügt über keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgeführt:

Von:
Die Absenderadresse wurde gefälscht.

Design der Email:

Von: sec@%Domäne des Empfängers%
Betreff: Mail server report.
Body:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Dataianhänge:
   • Update-KB%Nummer%-x86.exe
   • Update-KB%Nummer%-x86.zip

Von: secur@%Domäne des Empfängers%
Betreff: Mail server report.
Body:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Dataianhänge:
   • Update-KB%Nummer%-x86.exe
   • Update-KB%Nummer%-x86.zip

Von: serv@%Domäne des Empfängers%
Betreff: Mail server report.
Body:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Dataianhänge:
   • Update-KB%Nummer%-x86.exe
   • Update-KB%Nummer%-x86.zip

Betreff:
Eine der folgenden:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test

Body:
Der Body der Email ist einer der folgenden:
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
   • The message contains Unicode characters and has been sent as a binary attachment

Dateianhang:
Der Dateiname des Anhangs wird aus folgenden zusammengesetzt:

– Es beginnt mit einer der folgenden:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Manchmal gefolgt von einer der folgenden gefälschten Dateierweiterung:
   • dat
   • elm
   • log
   • msg
   • txt

    Die Dateierweiterung ist eine der folgenden:
   • bat
   • cmd
   • exe
   • pif
   • scr
   • zip

Die Email könnte wie eine der folgenden aussehen.

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Alexander Vukcevic am Thu, 19 Oct 2006 01:59 (GMT+1)
Beschreibung geändert von Andrei Gherman am Fri, 20 Oct 2006 09:01 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück