Worm/Warezov.I.1 - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/Warezov.I.1
Descubierto:	08/09/2006
Tipo:	Gusano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio
Potencial dañino:	Bajo
Fichero estático:	Sí
Tamaño:	86.889 Bytes
Suma de control MD5:	8420a6819eeb4092039eb4cf88764b3e
Versión del VDF:	6.35.01.196
Versión del IVDF:	6.35.01.200 - Fri, 08 Sep 2006 14:00 (GMT+1)

General Método de propagación:
   • Correo electrónico

Alias:
   • Mcafee: W32/Stration@MM
   • TrendMicro: WORM_STRATION.AD
   • Sophos: W32/Strati-Gen
   • VirusBuster: trojan Trojan.Opnis.AC
   • Bitdefender: BehavesLike:Trojan.Downloader

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

It displays the content of the created file (S) (es)

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %WINDIR%\svchost32.exe

Crea el siguiente fichero:

– %directorio donde se ejecuta el programa viral%\%serie de caracteres aleatorios%.tmp

Intenta descargar un fichero:

– La dirección es la siguiente:
• http://gadesunheranwui.com/chr/jjjk/**********
El fichero está guardado en el disco duro en: %TEMPDIR%\~%serie de caracteres aleatorios de dos dígitos%.exe Además, este fichero es ejecutado después de haber sido descargago. Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

Registro Añade la siguiente clave al registro:

– [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
• "PendingFileRenameOperations"="\??\%WINDIR%\svchost32.exe"

Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:

De:
La dirección del remitente es falsa.

Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.

Asunto:
Uno de los siguientes:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test

El cuerpo del mensaje:
– En algunos casos puede estar vacío.
– El cuerpo del mensaje contiene caracteres aleatorios.
El cuerpo del mensaje de correo es uno de los siguientes:
   • Mail transaction failed. Partial messageis available.
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment.

Archivo adjunto:

– Serie de caracteres aleatorios
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Seguido por una de las siguientes extensiones falsas:
   • dat
   • elm
   • log
   • msg
   • txt

    La extensión del fichero es una de las siguientes:
   • scr
   • exe
   • bat
   • pif
   • cmd

El archivo adjunto es una copia del propio programa malicioso.

El mensaje de correo puede tener una de las siguientes formas:

Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• MEW

Para una breve descripción vea el resumen aquí.

Descripción insertada por Gabriel Mustata el Mon, 16 Oct 2006 15:24 (GMT+1)
Descripción actualizada por Andrei Gherman el Tue, 21 Nov 2006 17:34 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back