Nom:Worm/Opnis.T.1
La date de la découverte:24/08/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:85.738 Octets
Somme de contrôle MD5:7a44b326e90D03251af24e33826027ba
Version VDF:6.35.01.132
Version IVDF:6.35.01.135 - jeudi 24 août 2006

 Général Méthode de propagation:
   • Email


Les alias:
   •  Symantec: W32.Stration.B@mm
   •  Mcafee: W32/Stration@MM
   •  Sophos: W32/Dilworm-A
   •  VirusBuster: Trojan.Opnis.Z
   •  Bitdefender: Trojan.Downloader.Strationee.B


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il emploie son propre moteur de courrier électronique


Juste après l'exécution il lance une application windows qui affiche le fenêtre suivante:


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\svchost32.exe



Les fichiers suivants sont créés:

– Fichier inoffensif:
   • %WINDIR%\svchost32.xml

%le dossier d'exécution du malware%\%numéro hexadécimal%.tmp



Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://gadesunheranwui.com/chr/jjjk/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\~%numéro hexadécimal%.tmp Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Strationee.A

 Registre La clé de registre suivante est changée:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\
   S-1-5-18\Products\9040820900063D11C8EF00054038389C\Usage
   La nouvelle valeur:
   • "OUTLOOKFiles"=dword:%numéro hexadécimal%

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.


Sujet:
Un des suivants:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corps:

 
Le corps de l'email est une des lignes:
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • Mail transaction failed. Partial message is available.


Pièce jointe:
Les noms de fichier des attachements sont construits de ce qui suit:

–  Il commence avec un des suivants:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

Continué par un des suivants:
   • dat
   • elm
   • log
   • msg
   • txt

   • bat
   • cmd
   • exe
   • pif
   • scr



Voici quelques exemples de la manière dont le nom du fichier de la pièce jointe pourrait ressembler:
   • body.dat.cmd
   • data.txt.pif

L'attachement est une copie du malware lui-même.



L'email ressemble à celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb


La création des adresses pour champ DE:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • Barbara; Betty; Bill; Carol; Charles; Chris; Daniel; David; Don;
      Donna; Dorothy; Edward; Elizabeth; George; Helen; James; Jennifer;
      John; Joseph; Karen; Ken; Linda; Lisa; Margaret; Maria; Mark; Mary;
      Michael; Nancy; Patricia; Paul; Richard; Rob; Ron; Ruth; Sandra;
      Sharon; Steven; Susan; Tom

Il pourrait combiner la première chaîne de caractères avec l'une des suivantes:
   • Adams; Allen; Anderson; Baker; Brown; Carter; Clark; Davis; Garcia;
      Gonzalez; Green; Hall; Harris; Hernandez; Hill; Jackson; Jones;
      Johnson; King; Lee; Lewis; Lopez; Martin; Martinez; Miller; Moore;
      Nelson; Robinson; Rodriguez; Scott; Smith; Taylor; Thomas; Thompson;
      Walker; White; Williams; Wilson; Wright; Young


Le domaine est un de ceux qui suivent:
   • care2.com; email.myway.com; fastmail.fm; gmail.com; goowy.com;
      hotmail.com; inbox.com; mail.aim.com; mail.com; mail.lycos.com;
      yahoo.com

Voici des exemples des adresses crées:
   • David Lee &ltDavid_1972@email.myway.com>
   • George Lopez &ltGeorge.Lopez@mail.lycos.com>
   • Mark Robinson &ltRobinson_vplxh@goowy.com>

 Porte dérobée Serveur de contact:
Le suivant:
   • http://gadesunheranwui.com/cgi-bin/**********

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script CGI.


Il envoie de l'information au sujet de:
    • Le statut courant du malware

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Ionut Slaveanu le lundi 28 août 2006
Description mise à jour par Ionut Slaveanu le lundi 11 septembre 2006

Retour . . . .