Nume:Worm/Scano.V.1
Descoperit pe data de:08/05/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:18.076 Bytes
MD5:1816a91ced99d800888153ca080D20f7
Versiune VDF:6.34.01.46
Versiune IVDF:6.34.01.47 - Monday, May 8, 2006

 General Metoda de raspandire:
   • Email


Alias:
   •  Symantec: W32/Areses.h
   •  Kaspersky: Email-Worm.Win32.Scano.v
   •  TrendMicro: WORM_ARESES.AC
   •  Sophos: W32/Areses-L
   •  Eset: Win32/Scano.NAG
   •  Bitdefender: Win32.Scano.S@mm


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Utilizeaza propriul motor de email
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\csrss.exe



Se copiaza intr-o arhiva in urmatoarea locatie:
   • %TEMPDIR%\Message.zip




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://207.46.250.119/g/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresa este urmatoarea:
   • http://www.microsoft.com/g/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresa este urmatoarea:
   • http://84.22.161.192/s/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.



Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • %SYSDIR%\services.exe
cu urmatorii parametri: %WINDIR%\csrss.exe
Este folosit pentru a ascunde procesul de Task Manager.

– Numele fisierului:
   • %SYSDIR%\svchost.exe
cu urmatorii parametri: %WINDIR%\csrss.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe
   • "Debugger"="%WINDIR%\csrss.exe"



Valorile urmatoarelor chei sunt sterse din registrii sistemului:

–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\
   PendingFileRenameOperations
–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\BootExecute

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)


Subiect:
Unul din urmatoarele:
   • Приветик, как твои дел?
   • ЙЫЛЙ?
   • Привет, ты где?
   • Привет, напиши мне!!!
   • Привет! Срочно напиши м!
   • не!
   • дешь?
   • Re: напиши мне!
   • Re: Позвони мне!
   • Re: Ты где?
   • Re: Когда ты мне ответиш
   • Re: Как настроение?
   • Re: Где пропадаешь?



Corpul email-ului:
–  Uneori corpul email-ului este gol.

 
Corpul email-ului este unul din textele:
   • Привет! Я сегодня жду те
   • Сегодня в интернете бу
   • Когда мне напишишь?
   • Приветик!!! Как настроен


Atasament:
Numele fisierului atasat este unul din urmatoarele:
   • Message.zip
   • File.zip
   • Document.zip
   • README.zip
   • Passwords.zip
   • Readme.zip
   • Important.zip
   • New.zip
   • COOL.zip
   • Archive.zip
   • Fotos.zip
   • private.zip
   • confidential.zip
   • secret.zip
   • images.zip
   • your_documents.zip
   • backup.zip

Atasamentul este o arhiva ce contine chiar o copie malware.

 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • .adb; .asp; .cfg; .cgi; .mra; .dbx; .dhtm; .eml; .htm; .html; .jsp;
      .mbx; .mdx; .mht; .mmf; .msg; .nch; .ods; .oft; .php; .pl; .sht;
      .shtm; .stm; .tbb; .txt; .uin; .wab; .wsh; .xls; .xml; .dhtml


Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • @microsoft; rating@; f-secur; news; update; .qmail; .gif; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      0000; Mailer-Daemon@; @subscribe; kasp; admin; icrosoft; support;
      ntivi; unix; bsd; linux; listserv; certific; torvalds@; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; spm111@;
      .00; abuse; panda; cafee; spam; pgp; @avp.; noreply; local; root@;
      postmaster@

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Irina Boldea on Monday, October 30, 2006
Description updated by Irina Boldea on Thursday, November 2, 2006

Back . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. All rights reserved.

My Account

https:// This window is encrypted for your security.