¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Stration.B.1
Descubierto:24/08/2006
Tipo:Gusano
En circulacin (ITW):No
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio
Potencial daino:Medio
Fichero esttico:S
Tamao:86.048 Bytes
Suma de control MD5:f973b4c2739d8344d1eb2b7185f55ab0
Versin del VDF:6.35.01.135
Versin del IVDF:6.35.01.138 - viernes 25 de agosto de 2006

 General Mtodo de propagacin:
   • Correo electrnico


Alias:
   •  Mcafee: W32/Stration@MM
   •  Kaspersky: Trojan-Downloader.Win32.Agent.atq
   •  F-Secure: Trojan-Downloader.Win32.Agent.atq
   •  Sophos: W32/Stration-E
   •  VirusBuster: Trojan.Opnis.AA
   •  Eset: Win32/Stration.C
   •  Bitdefender: Win32.HLLW.Stration.A


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero daino
   • Contiene su propio motor para generar mensajes de correo


Inmediatamente despus de ejecutarse, inicia una aplicacin de Windows que muestra la siguiente ventana:


 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %WINDIR%\svchost32.exe



Crea los siguientes ficheros:

Fichero no malicioso:
   • %WINDIR%\svchost32.xml

%directorio donde se ejecuta el programa viral%\%nmero hexadecimal%.tmp Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %serie de caracteres aleatorios%




Intenta descargar un fichero:

La direccin es la siguiente:
   • http://gadesunheranwui.com/chr/jjjk/**********
El fichero est guardado en el disco duro en: %TEMPDIR%\~%nmero hexadecimal%.tmp Adems, este fichero es ejecutado despus de haber sido completamente descargado. Los anlisis adicionales indicaron que este fichero es tambin viral.

 Registro Modifica la siguiente clave del registro:

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
   Nuevo valor:
   • "PendingFileRenameOperations"="\??\%WINDIR%\svchost32.exe"

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intencin del remitente enviarle este mensaje de correo. Es posible que dicho remitente no est al tanto de la infeccin o no est infectado. Adems, es posible que usted reciba mensajes devueltos, indicndole que est infectado. Esto tambin podra ser falso.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
– Direcciones generadas


Asunto:
Uno de los siguientes:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



El cuerpo del mensaje:
El cuerpo del mensaje de correo es uno de los siguientes:
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • The message contains Unicode characters and has been sentas a binary attachment.
   • Mail transaction failed. Partial message is available.


Archivo adjunto:
Los nombres de los ficheros adjuntos estn compuestos de los siguientes elementos:

–  Empieza por uno de los siguientes:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Seguido por una de las siguientes extensiones falsas:
   • dat
   • elm
   • log
   • msg
   • txt

    La extensin del fichero es una de las siguientes:
   • bat
   • cmd
   • exe
   • pif
   • scr



Algunos ejemplos de nombres de los ficheros adjuntos:
   • message.msg.exe
   • docs.txt.cmd
   • test.log.bat

El archivo adjunto es una copia del propio programa malicioso.

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

 Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • http://gadesunheranwui.com/**********

De esta forma puede enviar informaciones. Esto se realiza mediante el mtodo HTTP POST, empleando un script CGI.

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • MEW 11

Descripción insertada por Teodor Onisor el martes 29 de agosto de 2006
Descripción actualizada por Teodor Onisor el jueves 14 de septiembre de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.