Descripción completa

Nombre:	Worm/Warezov.AM.6
Descubierto:	29/09/2006
Tipo:	Gusano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	204.851 Bytes
Suma de control MD5:	632810eabc99e2b9cd6fe57f9da8739e
Versión del VDF:	6.36.00.49
Versión del IVDF:	6.36.00.60 - martes 26 de septiembre de 2006

General Método de propagación:
   • Correo electrónico

Alias:
   • Mcafee: W32/Stration@MM
   • Kaspersky: Email-Worm.Win32.Warezov.am
   • Sophos: W32/Stration-AD
   • Eset: Win32/Stration.CX

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Descarga ficheros
   • Suelta ficheros dañinos
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Roba informaciones

Ficheros Crea los siguientes ficheros:

– %SYSDIR%\actxippr.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: WORM/Warezov.AM.5

– %SYSDIR%\slbcslay.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: WORM/Warezov.AM.1

– %SYSDIR%\acac.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: WORM/Warezov.AM.4

– %SYSDIR%\mtxlcomm.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: WORM/Warezov.AM.2

– %SYSDIR%\lsaswdmi.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: WORM/Warezov.AM.3

Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://www5.cedesunjerinkas.com/chr/wtb/**********
Además, este fichero es ejecutado después de haber sido completamente descargado.

– La dirección es la siguiente:
   • http://www.traferreg.com/chr/zzzx/e/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://www.traferreg.com/chr/zzzx/e/**********

– La dirección es la siguiente:
   • http://www.traferreg.com/chr/zzzx/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

Registro Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   acac]
   • "Image"="%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%"
   • "Asynchronous"=dword:00000000
   • "Impersonate"=dword:00000000
   • "Shutdown"="WlxShutdownEvent"
   • "Startup"="WlxStartupEvent"
   • "DllName"="%SYSDIR%\acac.dll"

– [HKLM\Software\Microsoft\scrrnpwm]

Modifica la siguiente clave del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Nuevo valor:
   • "AppInit_DLLs"=" actxippr.dll lsaswdmi.dll"

Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:

De:
La dirección del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o no esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.

Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones generadas

Asunto:
Uno de los siguientes:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail server report.
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test

El cuerpo del mensaje:
El cuerpo del mensaje es uno de los siguientes:

   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
     addresses
     Please install updates for worm elimination and your computer restoring.

     Best regards,
     Customers support service

   • Mail transaction failed. Partial message is available.

   • The message cannot be represented in 7-bit ASCII encoding
     and has been sent as a binary attachment

Archivo adjunto:
El nombre del fichero adjunto está compuesto de los siguientes elementos:

– Serie de caracteres aleatorios
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text
   • Update-KB%palabras aleatorias%-x86

    Seguido por una de las siguientes extensiones falsas:
   • dat
   • elm
   • log
   • msg
   • txt
   • zip
   • exe

    La extensión del fichero es una de las siguientes:
   • cmd
   • scr
   • exe
   • pif
   • bat

El archivo adjunto es una copia del propio programa malicioso.

El mensaje de correo puede tener una de las siguientes formas:

Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • http://www3.cedesunjerinkas.com/cgi-bin/**********

Esto se realiza mediante el método HTTP POST, empleando un script PHP.

Envía informaciones acerca de:
    • Estado actual del programa viral
    • Informaciones acerca del sistema operativo Windows

Inyectar el código viral en otros procesos – Inyecta el siguiente fichero en un proceso: %SYSDIR%\mtxlcomm.dll

    Los siguientes procesos:
   • iexplore.exe
   • %Procesos con ventanas visibles%

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• MEW

Descripción insertada por Monica Ghitun el viernes 29 de septiembre de 2006
Descripción actualizada por Andrei Ivanes el martes 24 de octubre de 2006

Volver . . . .