Nombre:Worm/Warezov.I.1
Descubierto:08/09/2006
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Bajo
Fichero estático:
Tamaño:86.889 Bytes
Suma de control MD5:8420a6819eeb4092039eb4cf88764b3e
Versión del VDF:6.35.01.196
Versión del IVDF:6.35.01.200 - viernes 8 de septiembre de 2006

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Mcafee: W32/Stration@MM
   •  TrendMicro: WORM_STRATION.AD
   •  Sophos: W32/Strati-Gen
   •  VirusBuster: trojan Trojan.Opnis.AC
   •  Bitdefender: BehavesLike:Trojan.Downloader


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Muestra el contenido de un archivo gráfico creado:


 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\svchost32.exe



Crea el siguiente fichero:

%directorio donde se ejecuta el programa viral%\%serie de caracteres aleatorios%.tmp



Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://gadesunheranwui.com/chr/jjjk/**********
El fichero está guardado en el disco duro en: %TEMPDIR%\~%serie de caracteres aleatorios de dos dígitos%.exe Además, este fichero es ejecutado después de haber sido completamente descargado. Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade la siguiente clave al registro:

– [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%WINDIR%\svchost32.exe"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.


Asunto:
Uno de los siguientes:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



El cuerpo del mensaje:
–  En algunos casos puede estar vacío.
–  El cuerpo del mensaje contiene caracteres aleatorios.
El cuerpo del mensaje de correo es uno de los siguientes:
   • Mail transaction failed. Partial messageis available.
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment.


Archivo adjunto:

–  Serie de caracteres aleatorios
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Seguido por una de las siguientes extensiones falsas:
   • dat
   • elm
   • log
   • msg
   • txt

    La extensión del fichero es una de las siguientes:
   • scr
   • exe
   • bat
   • pif
   • cmd

El archivo adjunto es una copia del propio programa malicioso.



El mensaje de correo puede tener una de las siguientes formas:



 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • MEW

Descripción insertada por Gabriel Mustata el lunes 16 de octubre de 2006
Descripción actualizada por Andrei Gherman el martes 21 de noviembre de 2006

Volver . . . .