Worm/Warezov.A.3 - Worm

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Warezov.A.3
Entdeckt am:	29/08/2006
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	90.566 Bytes
MD5 Prüfsumme:	5fdc2edefcae9b0Beb98c743d7951291
VDF Version:	6.35.01.157
IVDF Version:	6.35.01.160 - Wed, 30 Aug 2006 10:54 (GMT+1)

General Verbreitungsmethode:
   • Email

Aliases:
   • Symantec: W32.Stration.C@mm
   • Mcafee: W32/Stration@MM
   • Kaspersky: Email-Worm.Win32.Warezov.h
   • TrendMicro: WORM_STRATION.BD
   • VirusBuster: Trojan.Opnis.AI
   • Eset: Win32/Stration.L
   • Bitdefender: Trojan.Strationee.K

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Verfügt über eigene Email Engine
   • Änderung an der Registry

Nach Aktivierung wird folgende Information angezeigt:

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\rsmb.exe

Es werden folgende Dateien erstellt:

– Eine Datei welche gesammelte Email Adressen enthält:
   • %WINDIR%\rsmb.wax

– %WINDIR%\rsmb.gfx
– %Verzeichnis in dem die Malware ausgeführt wurde%\%zweistellige zufällige Buchstabenkombination%.tmp
– %WINDIR%\rsmb.dll Wird verwendet um einen Prozess zu verstecken. Erkannt als: Worm/Warezov.C

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • gadesunheranwui.com/chr/zjjk/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "rsmb"="%WINDIR%\rsmb.exe s"

Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:

Von:
Die Absenderadresse wurde gefälscht.

An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)

Betreff:
Eine der folgenden:
   • Error
   • picture
   • Status
   • Good day
   • Mail Delivery System
   • Mail Transaction Failed

Body:
Der Body der Email ist einer der folgenden:
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • Mail transaction failed. Partial message is available.

Dateianhang:
Der Dateiname des Anhangs wird aus folgenden zusammengesetzt:

– Es beginnt mit einer der folgenden:
   • test
   • file
   • doc
   • document
   • message

    Gefolgt von einer der folgenden gefälschen Dateiendungen:
   • dat
   • log
   • msg
   • txt

    Die Dateierweiterung ist eine der folgenden:
   • exe
   • cmd
   • pif

Der Dateianhang ist eine Kopie der Malware.

Die Email sieht wie folgt aus:

Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• MEW

Kurzfassung hier.

Beschreibung erstellt von Irina Boldea am Wed, 18 Oct 2006 11:58 (GMT+1)
Beschreibung geändert von Irina Boldea am Thu, 19 Oct 2006 16:15 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück