Nombre:Worm/Stration.C.3
Descubierto:01/09/2006
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:138.849 Bytes
Suma de control MD5:0Bd44775fadc2e29fc48c7f9ddd89752
Versión del VDF:6.35.01.173
Versión del IVDF:6.35.01.177 - lunes 4 de septiembre de 2006

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Mcafee: W32/Stration@MM
   •  TrendMicro: WORM_STRATION.CI
   •  Sophos: W32/Stration-P
   •  VirusBuster: iworm Trojan.Opnis.AM
   •  Bitdefender: Win32.Worm.Sumom.D


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Suelta ficheros dañinos
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro


Inmediatamente después de ejecutarse, inicia una aplicación de Windows que muestra la siguiente ventana:


 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\rsmbx.exe



Crea los siguientes ficheros:

– Ficheros no maliciosos:
   • %WINDIR%\rsmbx.gfx
   • %WINDIR%\rsmbx.z
   • %directorio donde se ejecuta el programa viral%\%número hexadecimal%.tmp

– Un fichero que contiene las direcciones de correo recolectadas:
   • %WINDIR%\rsmbx.wax

%WINDIR%\rsmbx.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: WORM/Stration.C.2

%SYSDIR%\hpzl449c14b7.exe
%SYSDIR%\cmut449c14b7.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: WORM/Stration.C.4

%SYSDIR%\msji449c14b7.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: WORM/Stration.C.1


– La dirección es la siguiente:
   • http://gadesunheranwui.com/chr/zjjk/**********
El fichero está guardado en el disco duro en: %TEMPDIR%\~%número hexadecimal%.tmp Además, este fichero es ejecutado después de haber sido completamente descargado. Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "rsmbx"="%WINDIR%\rsmbx.exe s"



Modifica la siguiente clave del registro:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
   Nuevo valor:
   • "AppInit_DLLs"=" msji449c14b7.dll"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
Direcciones generadas. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o no esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.


Asunto:
Uno de los siguientes:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



El cuerpo del mensaje:
El cuerpo del mensaje de correo es uno de los siguientes:
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • Mail transaction failed. Partial message is available.


Archivo adjunto:
Los nombres de los ficheros adjuntos están compuestos de los siguientes elementos:

–  Empieza por uno de los siguientes:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

Y luego una de las siguientes:
   • dat
   • elm
   • log
   • msg
   • txt

    Seguida por:
   • bat
   • cmd
   • exe
   • pif
   • scr



Algunos ejemplos de nombres de los ficheros adjuntos:
   • docs.dat.cmd
   • file.txt.exe

El archivo adjunto es una copia del propio programa malicioso.



El mensaje de correo se ve así:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • adb; asp; cfg; cgi; dbx; eml; htm; jsp; mbx; mdx; mht; mmf; msg; nch;
      ods; oft; php; sht; stm; tbb; txt; uin; wab


Creación de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • adam; anna; alice; betty; bob; brenda; brent; brian; carol; claudia;
      craig; cyber; dan; dave; david; debby; den; Donna; frank; george;
      gerhard; helen; james; jane; jayson; jerry; jim; joe; john; karen;
      linda; lisa; mancy; maria; ruth; sandra; sharon; Susan

Puede combinar la primera línea con una de las siguientes:
   • adams; allen; anderson; baker; carter; clark; garcia; gonzalez; green;
      hall; harris; hernandez; hill; jackson; jeremy; joe; kenneth; king;
      lee; lewis; lopez; martinez; miller; molly; moore; nelson; robinson;
      robyn; rodriguez; scott; shaan; taylor; thomas; thompson; walker;
      white; wilson; wright; young


El dominio es uno de los siguientes:
   • care2.com; email.myway.com; fastmail.fm; gmail.com; goowy.com;
      hotmail.com; inbox.com; mail.aim.com; mail.com; mail.lycos.com;
      yahoo.com

Algunos ejemplos de direcciones generadas:
   • john &ltjohn.harris@goowy.com>
   • Susan walker &ltSusan.walker@gmail.com>

 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • http://gadesunheranwui.com/cgi-bin/**********

De esta forma puede enviar informaciones. Esto se realiza mediante el método HTTP POST, empleando un script CGI.


Envía informaciones acerca de:
    • Estado actual del programa viral

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %WINDIR%\rsmbx.dll

    Los siguientes procesos:
   • %todos los procesos se han iniciado después de que el malware es activo en la memoria% 
   • Explorer.EXE


 Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.


Oculta las siguientes:
– Sus propios procesos

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Ionut Slaveanu el lunes 25 de septiembre de 2006
Descripción actualizada por Ionut Slaveanu el lunes 25 de septiembre de 2006

Volver . . . .