Nume:Worm/Stration.C
Descoperit pe data de:19/09/2006
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Nu
Marime:~115.000 Bytes
Versiune VDF:6.36.00.33
Versiune IVDF:6.36.00.43 - jueves 21 de septiembre de 2006

 General Metoda de raspandire:
   • Email


Alias:
   •  Kaspersky: Email-Worm.Win32.Warezov.at
   •  Sophos: W32/Stratio-AN


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Creeaza fisiere malware
   • Utilizeaza propriul motor de email
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer


Dupa activare, ruleaza un program Windows care afiseaza urmatoarea fereastra:


 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\t2serv.exe



Sunt create fisierele:

– Fisiere inofensive:
   • %directorul de activare malware%\10.tmp
   • %WINDIR%\tserv.s

– Un fisier care contine adrese de e-mail:
   • %WINDIR%\t2serv.wax

– %SYSDIR%\cscdgcde.dll Analiza ulterioara a relevat ca si acest fisier este malware.
– %SYSDIR%\esenmqtr.dll Analiza ulterioara a relevat ca si acest fisier este malware.
– %SYSDIR%\esenprfl.dll Analiza ulterioara a relevat ca si acest fisier este malware.
– %SYSDIR%\e1.dll Analiza ulterioara a relevat ca si acest fisier este malware.
– %WINDIR%\t2serv.dll Analiza ulterioara a relevat ca si acest fisier este malware.



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://www3.vertionkdaseliplim.com/chr/grv/**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\~%numar%.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

– Adresa este urmatoarea:
   • http://www3.vertionkdaseliplim.com/chr/grv/**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\~%numar%.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet. La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • t2serv = %WINDIR%\t2serv.exe



Urmatoarea cheie din registri este modificata:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Vechea valoare:
   • AppInit_DLLs =
   Noua valoare:
   • AppInit_DLLs = cscdgcde.dll e1.sll

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adrese generate. Va rugam nu presupuneti ca a fost intentia expeditorului sa va trimita acest email. Este posibil ca el sa nu stie ca este infectat sau chiar sa nu aiba sistemul infectat. In plus, este posibil sa primiti email-uri returnate care sa va indice ca sunteti infectat, lucru care poate fi de asemenea fals.


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)


Formatul email-ului:
 


De la: sec@%domeniul destinatarului%
Subiect: Mail server report.
Corp mesaj:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Atasament:
   • Update-KB%numar%-x86.exe
 


De la: secur@%domeniul destinatarului%
Subiect: Mail server report.
Corp mesaj:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Atasament:
   • Update-KB%numar%-x86.exe
 


De la: serv@%domeniul destinatarului%
Subiect: Mail server report.
Corp mesaj:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Atasament:
   • Update-KB%numar%-x86.exe


Subiect:
Unul din urmatoarele:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corpul email-ului:
Corpul email-ului este unul din textele:
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
   • The message contains Unicode characters and has been sent as a binary attachment


Atasament:
Numele fisierului atasat este alcatuit dupa cum urmeaza:

–  Incepe cu unul din urmatoarele:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Urmat uneori de una din urmatoarele extensii false:
   • dat
   • elm
   • log
   • msg
   • txt

    Extensia fisierului este una din urmatoarele:
   • bat
   • cmd
   • exe
   • pif
   • scr

Atasamentul este o copie a malware-ului descris aici: Worm/Warezov.DLL.C



Email-ul poate arata ca unul din urmatoarele:



 Email Cautare adrese:
Cauta adrese de email in urmatorul fisier:
   • %fiecare fisier *.htm%

 Backdoor Servere contactate:
Urmatoarele:
   • http://www3.vertionkdaseliplim.com/cgi-bin/**********
   • http://www3.vertionkdaseliplim.com/cgi-bin/**********

Astfel se pot transmite informatii si se poate obtine control la distanta. In plus, conexiunea e reluata periodic. Se foloseste metoda HTTP GET si POST printr-un script PHP.

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Andrei Gherman el lunes 25 de septiembre de 2006
Descripción actualizada por Andrei Gherman el viernes 20 de octubre de 2006

Volver . . . .