Nombre:Worm/Stration.C
Descubierto:19/09/2006
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:No
Tamaño:~115.000 Bytes
Versión del VDF:6.36.00.33
Versión del IVDF:6.36.00.43 - jueves 21 de septiembre de 2006

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Kaspersky: Email-Worm.Win32.Warezov.at
   •  Sophos: W32/Stratio-AN


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Suelta ficheros dañinos
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador


Inmediatamente después de ejecutarse, inicia una aplicación de Windows que muestra la siguiente ventana:


 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\t2serv.exe



Crea los siguientes ficheros:

– Ficheros no maliciosos:
   • %directorio donde se ejecuta el programa viral%\10.tmp
   • %WINDIR%\tserv.s

– Un fichero que contiene las direcciones de correo recolectadas:
   • %WINDIR%\t2serv.wax

%SYSDIR%\cscdgcde.dll Los análisis adicionales indicaron que este fichero es también viral.
%SYSDIR%\esenmqtr.dll Los análisis adicionales indicaron que este fichero es también viral.
%SYSDIR%\esenprfl.dll Los análisis adicionales indicaron que este fichero es también viral.
%SYSDIR%\e1.dll Los análisis adicionales indicaron que este fichero es también viral.
%WINDIR%\t2serv.dll Los análisis adicionales indicaron que este fichero es también viral.



Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://www3.vertionkdaseliplim.com/chr/grv/**********
El fichero está guardado en el disco duro en: %TEMPDIR%\~%número%.tmp Además, este fichero es ejecutado después de haber sido completamente descargado. Los análisis adicionales indicaron que este fichero es también viral.

– La dirección es la siguiente:
   • http://www3.vertionkdaseliplim.com/chr/grv/**********
El fichero está guardado en el disco duro en: %TEMPDIR%\~%número%.tmp Además, este fichero es ejecutado después de haber sido completamente descargado. Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • t2serv = %WINDIR%\t2serv.exe



Modifica la siguiente clave del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Valor anterior:
   • AppInit_DLLs =
   Nuevo valor:
   • AppInit_DLLs = cscdgcde.dll e1.sll

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
Direcciones generadas. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o no esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


El diseño del mensaje de correo:



De: sec@%dominio de los destinatarios%
Asunto: Mail server report.
Cuerpo del mensaje:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Adjunto:
   • Update-KB%número%-x86.exe



De: secur@%dominio de los destinatarios%
Asunto: Mail server report.
Cuerpo del mensaje:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Adjunto:
   • Update-KB%número%-x86.exe



De: serv@%dominio de los destinatarios%
Asunto: Mail server report.
Cuerpo del mensaje:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Adjunto:
   • Update-KB%número%-x86.exe


Asunto:
Uno de los siguientes:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



El cuerpo del mensaje:
El cuerpo del mensaje de correo es uno de los siguientes:
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
   • The message contains Unicode characters and has been sent as a binary attachment


Archivo adjunto:
El nombre del fichero adjunto está compuesto de los siguientes elementos:

–  Empieza por uno de los siguientes:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    A veces seguido por una de las siguientes extensiones falsas:
   • dat
   • elm
   • log
   • msg
   • txt

    La extensión del fichero es una de las siguientes:
   • bat
   • cmd
   • exe
   • pif
   • scr

El archivo adjunto es una copia del malware descrito aquí: Worm/Warezov.DLL.C



El mensaje de correo puede tener una de las siguientes formas:



 Envio de mensajes Busca direcciones:
Busca direcciones de correo en el siguiente fichero:
   • %cada fichero *.htm%

 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • http://www3.vertionkdaseliplim.com/cgi-bin/**********
   • http://www3.vertionkdaseliplim.com/cgi-bin/**********

De esta forma, puede enviar informaciones y obtener el control remoto. Además, rehace la conexión periódicamente. Esto se realiza mediante el método HTTP GET y POST, empleando un script PHP.

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Andrei Gherman el lunes 25 de septiembre de 2006
Descripción actualizada por Andrei Gherman el viernes 20 de octubre de 2006

Volver . . . .