¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Warezov.DLL.C
Descubierto:22/09/2006
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:153.128 Bytes
Suma de control MD5:6d5b6945f50dc801208525936d5c24b9
Versión del VDF:6.36.00.50
Versión del IVDF:6.36.00.61 - martes, 26 de septiembre de 2006

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Mcafee: W32/Stration@MM
   •  Kaspersky: Email-Worm.Win32.Warezov.ab
   •  TrendMicro: WORM_STRATION.BC
   •  F-Secure: Email-Worm.Win32.Warezov.ab
   •  Eset: Win32/Stration.AR


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Bloquea el acceso a portales de seguridad
   • Suelta ficheros dañinos
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\tsrv.exe



Crea los siguientes ficheros:

– Un fichero que contiene las direcciones de correo recolectadas:
   • %WINDIR%\tsrv.wax

– %HOME%\Desktop\%serie de caracteres aleatorios de dos dígitos%.tmp Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %serie de caracteres aleatorios%

%SYSDIR%\msji449c14b7.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Stration

%SYSDIR%\cmut449c14b7.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Warezov.AB

%SYSDIR%\hpzl449c14b7.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Warezov.AB.2

%WINDIR%\tsrv.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Warezov.AB.1

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "tsrv"="%WINDIR%\tsrv.exe s"



Modifica la siguiente clave del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Valor anterior:
   • "AppInit_DLLs"=""
   Nuevo valor:
   • "AppInit_DLLs"=" msji449c14b7.dll"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o no esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
– Direcciones generadas


El diseño de los mensajes de correo:



De: sec@%dominio de los destinatarios%
Asunto: Mail server report.
Cuerpo del mensaje:
   • Mail server report.
     
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
     addresses
     Please install updates for worm elimination and your computer restoring.
     
     Best regards,
     Customers support service
Adjunto:
   • Update-KB%número%-x86.exe



De: secur@%dominio de los destinatarios%
Asunto: Mail server report.
Cuerpo del mensaje:
   • Mail server report.
     
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
     addresses
     Please install updates for worm elimination and your computer restoring.
     
     Best regards,
     Customers support service
Adjunto:
   • Update-KB%número%-x86.exe



De: serv@%dominio de los destinatarios%
Asunto: Mail server report.
Cuerpo del mensaje:
   • Mail server report.
     
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
     addresses
     Please install updates for worm elimination and your computer restoring.
     
     Best regards,
     Customers support service
Adjunto:
   • Update-KB%número%-x86.exe


Asunto:
Uno de los siguientes:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



El cuerpo del mensaje:
El cuerpo del mensaje es uno de los siguientes:

   • Mail transaction failed. Partial message is available.

   • The message cannot be represented in 7-bit ASCII encoding
     and has been sent as a binary attachment

   • The message contains Unicode characters and has been sent
     as a binary attachment.


Archivo adjunto:
Los nombres de los ficheros adjuntos están compuestos de los siguientes elementos:

–  Empieza por uno de los siguientes:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Seguido por una de las siguientes extensiones falsas:
   • .elm
   • .msg
   • .dat
   • .txt
   • .log

    La extensión del fichero es una de las siguientes:
   • .bat
   • .exe
   • .scr
   • .cmd
   • .pif

El archivo adjunto es una copia del propio programa malicioso.



El mensaje de correo puede tener una de las siguientes formas:



 Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes quedan sin modificar.

– El acceso a los siguientes dominios está bloqueado:
   • download.microsoft.com; go.microsoft.com; msdn.microsoft.com;
      office.microsoft.com; windowsupdate.microsoft.com;
      http://www.microsoft.com/downloads/Search.aspx?displaylang=en; avp.ru;
      www.avp.ru; http://avp.ru; http://www.avp.ru; kaspersky.ru;
      www.kaspersky.ru; http://kaspersky.ru; kaspersky.com;
      www.kaspersky.com; http://kaspersky.com; kaspersky-labs.com;
      www.kaspersky-labs.com; http://kaspersky-labs.com; avp.ru/download/;
      www.avp.ru/download/; http://www.avp.ru/download/;
      http://www.kaspersky.ru/updates/;
      http://www.kaspersky-labs.com/updates/; http://kaspersky.ru/updates/;
      http://kaspersky-labs.com/updates/; downloads1.kaspersky-labs.com;
      downloads2.kaspersky-labs.com; downloads3.kaspersky-labs.com;
      downloads4.kaspersky-labs.com; downloads5.kaspersky-labs.com;
      http://downloads1.kaspersky-labs.com;
      http://downloads2.kaspersky-labs.com;
      http://downloads3.kaspersky-labs.com;
      http://downloads4.kaspersky-labs.com;
      http://downloads5.kaspersky-labs.com;
      downloads1.kaspersky-labs.com/products/;
      downloads2.kaspersky-labs.com/products/;
      downloads3.kaspersky-labs.com/products/;
      downloads4.kaspersky-labs.com/products/;
      downloads5.kaspersky-labs.com/products/;
      http://downloads1.kaspersky-labs.com/products/;
      http://downloads2.kaspersky-labs.com/products/;
      http://downloads3.kaspersky-labs.com/products/;
      http://downloads4.kaspersky-labs.com/products/;
      http://downloads5.kaspersky-labs.com/products/;
      downloads1.kaspersky-labs.com/updates/;
      downloads2.kaspersky-labs.com/updates/;
      downloads3.kaspersky-labs.com/updates/;
      downloads4.kaspersky-labs.com/updates/;
      downloads5.kaspersky-labs.com/updates/;
      http://downloads1.kaspersky-labs.com/updates/;
      http://downloads2.kaspersky-labs.com/updates/;
      http://downloads3.kaspersky-labs.com/updates/;
      http://downloads4.kaspersky-labs.com/updates/;
      http://downloads5.kaspersky-labs.com/updates/;
      ftp://downloads1.kaspersky-labs.com;
      ftp://downloads2.kaspersky-labs.com;
      ftp://downloads3.kaspersky-labs.com;
      ftp://downloads4.kaspersky-labs.com;
      ftp://downloads5.kaspersky-labs.com;
      ftp://downloads1.kaspersky-labs.com/products/;
      ftp://downloads2.kaspersky-labs.com/products/;
      ftp://downloads3.kaspersky-labs.com/products/;
      ftp://downloads4.kaspersky-labs.com/products/;
      ftp://downloads5.kaspersky-labs.com/products/;
      ftp://downloads1.kaspersky-labs.com/updates/;
      ftp://downloads2.kaspersky-labs.com/updates/;
      ftp://downloads3.kaspersky-labs.com/updates/;
      ftp://downloads4.kaspersky-labs.com/updates/;
      ftp://downloads5.kaspersky-labs.com/updates/;
      http://updates.kaspersky-labs.com/updates/;
      http://updates1.kaspersky-labs.com/updates/;
      http://updates2.kaspersky-labs.com/updates/;
      http://updates3.kaspersky-labs.com/updates/;
      http://updates4.kaspersky-labs.com/updates/;
      ftp://updates.kaspersky-labs.com/updates/;
      ftp://updates1.kaspersky-labs.com/updates/;
      ftp://updates2.kaspersky-labs.com/updates/;
      ftp://updates3.kaspersky-labs.com/updates/;
      ftp://updates4.kaspersky-labs.com/updates/; viruslist.com;
      www.viruslist.com; http://viruslist.com; viruslist.ru;
      www.viruslist.ru; http://viruslist.ru;
      ftp://ftp.kasperskylab.ru/updates/; symantec.com; www.symantec.com;
      http://symantec.com; customer.symantec.com;
      http://customer.symantec.com; liveupdate.symantec.com;
      http://liveupdate.symantec.com; liveupdate.symantecliveupdate.com;
      http://liveupdate.symantecliveupdate.com;
      securityresponse.symantec.com; http://securityresponse.symantec.com;
      service1.symantec.com; http://service1.symantec.com;
      symantec.com/updates; http://symantec.com/updates;
      updates.symantec.com; http://updates.symantec.com; eset.com/;
      www.eset.com/; http://www.eset.com/; eset.com/products/index.php;
      www.eset.com/products/index.php;
      http://www.eset.com/products/index.php; eset.com/download/index.php;
      www.eset.com/download/index.php;
      http://www.eset.com/download/index.php; eset.com/joomla/;
      www.eset.com/joomla/; http://www.eset.com/joomla/; u3.eset.com/;
      http://u3.eset.com/; u4.eset.com/; http://u4.eset.com/;
      www.symantec.com/updates




El fichero host modificado se verá así:


 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: tsrv.dll

    Nombre del proceso:
   • %todos los procesos activos%


 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • MEW

Descripción insertada por Adriana Popa el martes, 26 de septiembre de 2006
Descripción actualizada por Adriana Popa el martes, 26 de septiembre de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.