Nombre:Worm/Stration.B.1
Descubierto:24/08/2006
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:86.048 Bytes
Suma de control MD5:f973b4c2739d8344d1eb2b7185f55ab0
Versión del VDF:6.35.01.135
Versión del IVDF:6.35.01.138 - viernes 25 de agosto de 2006

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Mcafee: W32/Stration@MM
   •  Kaspersky: Trojan-Downloader.Win32.Agent.atq
   •  F-Secure: Trojan-Downloader.Win32.Agent.atq
   •  Sophos: W32/Stration-E
   •  VirusBuster: Trojan.Opnis.AA
   •  Eset: Win32/Stration.C
   •  Bitdefender: Win32.HLLW.Stration.A


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Contiene su propio motor para generar mensajes de correo


Inmediatamente después de ejecutarse, inicia una aplicación de Windows que muestra la siguiente ventana:


 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\svchost32.exe



Crea los siguientes ficheros:

– Fichero no malicioso:
   • %WINDIR%\svchost32.xml

%directorio donde se ejecuta el programa viral%\%número hexadecimal%.tmp Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %serie de caracteres aleatorios%




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://gadesunheranwui.com/chr/jjjk/**********
El fichero está guardado en el disco duro en: %TEMPDIR%\~%número hexadecimal%.tmp Además, este fichero es ejecutado después de haber sido completamente descargado. Los análisis adicionales indicaron que este fichero es también viral.

 Registro Modifica la siguiente clave del registro:

– HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
   Nuevo valor:
   • "PendingFileRenameOperations"="\??\%WINDIR%\svchost32.exe"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o no esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones generadas


Asunto:
Uno de los siguientes:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



El cuerpo del mensaje:
El cuerpo del mensaje de correo es uno de los siguientes:
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • The message contains Unicode characters and has been sentas a binary attachment.
   • Mail transaction failed. Partial message is available.


Archivo adjunto:
Los nombres de los ficheros adjuntos están compuestos de los siguientes elementos:

–  Empieza por uno de los siguientes:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Seguido por una de las siguientes extensiones falsas:
   • dat
   • elm
   • log
   • msg
   • txt

    La extensión del fichero es una de las siguientes:
   • bat
   • cmd
   • exe
   • pif
   • scr



Algunos ejemplos de nombres de los ficheros adjuntos:
   • message.msg.exe
   • docs.txt.cmd
   • test.log.bat

El archivo adjunto es una copia del propio programa malicioso.

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

 Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • http://gadesunheranwui.com/**********

De esta forma puede enviar informaciones. Esto se realiza mediante el método HTTP POST, empleando un script CGI.

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • MEW 11

Descripción insertada por Teodor Onisor el martes 29 de agosto de 2006
Descripción actualizada por Teodor Onisor el jueves 14 de septiembre de 2006

Volver . . . .