Nume:Worm/Warezov.AM.6
Descoperit pe data de:29/09/2006
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:204.851 Bytes
MD5:632810eabc99e2b9cd6fe57f9da8739e
Versiune VDF:6.36.00.49
Versiune IVDF:6.36.00.60 - Tuesday, September 26, 2006

 General Metoda de raspandire:
   • Email


Alias:
   •  Mcafee: W32/Stration@MM
   •  Kaspersky: Email-Worm.Win32.Warezov.am
   •  Sophos: W32/Stration-AD
   •  Eset: Win32/Stration.CX


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Creeaza fisiere malware
   • Utilizeaza propriul motor de email
   • Modificari in registri
   • Sustrage informatii

 Fisiere Sunt create fisierele:

– %SYSDIR%\actxippr.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: WORM/Warezov.AM.5

– %SYSDIR%\slbcslay.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: WORM/Warezov.AM.1

– %SYSDIR%\acac.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: WORM/Warezov.AM.4

– %SYSDIR%\mtxlcomm.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: WORM/Warezov.AM.2

– %SYSDIR%\lsaswdmi.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: WORM/Warezov.AM.3




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://www5.cedesunjerinkas.com/chr/wtb/**********
In plus, acest fisier este executat dupa ce este descarcat de pe Internet.

– Adresa este urmatoarea:
   • http://www.traferreg.com/chr/zzzx/e/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresa este urmatoarea:
   • http://www.traferreg.com/chr/zzzx/e/**********


– Adresa este urmatoarea:
   • http://www.traferreg.com/chr/zzzx/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   acac]
   • "Image"="%directorul de activare malware%\%fisier executat%"
   • "Asynchronous"=dword:00000000
   • "Impersonate"=dword:00000000
   • "Shutdown"="WlxShutdownEvent"
   • "Startup"="WlxStartupEvent"
   • "DllName"="%SYSDIR%\acac.dll"

– [HKLM\Software\Microsoft\scrrnpwm]


Urmatoarea cheie din registri este modificata:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Noua valoare:
   • "AppInit_DLLs"=" actxippr.dll lsaswdmi.dll"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.
Adrese generate. Va rugam nu presupuneti ca a fost intentia expeditorului sa va trimita acest email. Este posibil ca el sa nu stie ca este infectat sau chiar sa nu aiba sistemul infectat. In plus, este posibil sa primiti email-uri returnate care sa va indice ca sunteti infectat, lucru care poate fi de asemenea fals.


Catre:
– Adrese de email gasite pe sistem.
– Adrese generate


Subiect:
Unul din urmatoarele:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail server report.
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corpul email-ului:
Corpul email-ului este unul din textele:

   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
     addresses
     Please install updates for worm elimination and your computer restoring.
     
     Best regards,
     Customers support service

   • Mail transaction failed. Partial message is available.

   • The message cannot be represented in 7-bit ASCII encoding
     and has been sent as a binary attachment


Atasament:
Numele fisierului atasat este alcatuit dupa cum urmeaza:

–  Sir de caractere aleator
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text
   • Update-KB%cuvinte aleatoare%-x86

    Urmat de una din urmatoarele extensii false:
   • dat
   • elm
   • log
   • msg
   • txt
   • zip
   • exe

    Extensia fisierului este una din urmatoarele:
   • cmd
   • scr
   • exe
   • pif
   • bat

Atasamentul este o copie malware.



Email-ul poate arata ca unul din urmatoarele:



 Backdoor Servere contactate:
Urmatorul:
   • http://www3.cedesunjerinkas.com/cgi-bin/**********

Aceasta se face prin metoda HTTP POST, folosind un script PHP.


Trimte informatii despre:
    • Statusul actual al malware-ului
    • Informatii despre sistemul de operare

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\mtxlcomm.dll

    Urmatoarele procese:
   • iexplore.exe
   • %procese care au ferestre vizibile%


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • MEW

Description inserted by Monica Ghitun on Friday, September 29, 2006
Description updated by Andrei Ivanes on Tuesday, October 24, 2006

Back . . . .