¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Dldr.Stration.C
Descubierto:19/10/2006
Tipo:Troyano
Subtipo:Downloader
En circulación (ITW):
Número de infecciones comunicadas:Medio-alto
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:No
Tamaño:~30.000 Bytes
Versión del VDF:6.36.00.129
Versión del IVDF:6.36.00.146 - sábado, 21 de octubre de 2006
Eurístico:HEUR/Crypted

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: W32/Stration.dr
   •  Kaspersky: Email-Worm.Win32.Warezov.dc
   •  Sophos: W32/Stratio-AW
   •  VirusBuster: Trojan.Opnis.EM
   •  Bitdefender: Trojan.Downloader.AOW

Identificado anteriormente como:
   •  Worm/Marmota.B


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino


Inmediatamente después de su ejecución, muestra la siguiente información:



Inmediatamente después de ejecutarse, inicia una aplicación de Windows que muestra la siguiente ventana:


 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\%serie de caracteres aleatorios%.exe



Crea el siguiente fichero:

– Fichero no malicioso:
   • %directorio donde se ejecuta el programa viral%\%serie de
      caracteres aleatorios%
.tmp




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://www6.vedasetionkderun.com/819/**********
El fichero está guardado en el disco duro en: %TEMPDIR%\~%número%.tmp Además, este fichero es ejecutado después de haber sido completamente descargado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Stration.C

 Correo electrónico No incluye rutina de propagación propia, pero se ha difundido por correo electrónico. Las características están descritas a continuación:


De:
La dirección del remitente es falsa.


El diseño del mensaje de correo:



De: sec@%dominio de los destinatarios%
Asunto: Mail server report.
Cuerpo del mensaje:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Adjuntos:
   • Update-KB%número%-x86.exe
   • Update-KB%número%-x86.zip



De: secur@%dominio de los destinatarios%
Asunto: Mail server report.
Cuerpo del mensaje:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Adjuntos:
   • Update-KB%número%-x86.exe
   • Update-KB%número%-x86.zip



De: serv@%dominio de los destinatarios%
Asunto: Mail server report.
Cuerpo del mensaje:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Adjuntos:
   • Update-KB%número%-x86.exe
   • Update-KB%número%-x86.zip


Asunto:
Uno de los siguientes:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



El cuerpo del mensaje:
El cuerpo del mensaje de correo es uno de los siguientes:
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
   • The message contains Unicode characters and has been sent as a binary attachment


Archivo adjunto:
El nombre del fichero adjunto está compuesto de los siguientes elementos:

–  Empieza por uno de los siguientes:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    A veces seguido por una de las siguientes extensiones falsas:
   • dat
   • elm
   • log
   • msg
   • txt

    La extensión del fichero es una de las siguientes:
   • bat
   • cmd
   • exe
   • pif
   • scr
   • zip



El mensaje de correo puede tener una de las siguientes formas:




 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Alexander Vukcevic el jueves, 19 de octubre de 2006
Descripción actualizada por Andrei Gherman el viernes, 20 de octubre de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.