Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Stration.B.1
La date de la dcouverte:24/08/2006
Type:Ver
En circulation:Non
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:86.048 Octets
Somme de contrle MD5:f973b4c2739d8344d1eb2b7185f55ab0
Version VDF:6.35.01.135
Version IVDF:6.35.01.138 - vendredi 25 août 2006

 Gnral Mthode de propagation:
   • Email


Les alias:
   •  Mcafee: W32/Stration@MM
   •  Kaspersky: Trojan-Downloader.Win32.Agent.atq
   •  F-Secure: Trojan-Downloader.Win32.Agent.atq
   •  Sophos: W32/Stration-E
   •  VirusBuster: Trojan.Opnis.AA
   •  Eset: Win32/Stration.C
   •  Bitdefender: Win32.HLLW.Stration.A


Plateformes / Systmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il tlcharge un fichier malveillant
   • Il emploie son propre moteur de courrier lectronique


Juste aprs l'excution il lance une application windows qui affiche le fentre suivante:


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\svchost32.exe



Les fichiers suivants sont crs:

Fichier inoffensif:
   • %WINDIR%\svchost32.xml

%le dossier d'excution du malware%\%numro hexadcimal%.tmp Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %chane de caractres alatoire%




Il essaie de tlcharger un ficher:

L'emplacement est le suivant:
   • http://gadesunheranwui.com/chr/jjjk/**********
Il est sauvegard sur le disque dur local l'emplacement: %TEMPDIR%\~%numro hexadcimal%.tmp Ensuite, ce fichier est excut aprs avoir t completment tlcharg. Les investigations ultrieures ont prouv que ce ficher est galement un Malware.

 Registre La cl de registre suivante est change:

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
   La nouvelle valeur:
   • "PendingFileRenameOperations"="\??\%WINDIR%\svchost32.exe"

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.
Adresses gnres. Ne pas supposer pas que c'tait l'intention de l'expditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infect ou il est possible qu'il ne soit pas du tout infect. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous tes infect. Ceci pourrait galement ne pas tre le cas.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
– Les adresses cres


Sujet:
Un des suivants:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corps:
Le corps de l'email est une des lignes:
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • The message contains Unicode characters and has been sentas a binary attachment.
   • Mail transaction failed. Partial message is available.


Pice jointe:
Les noms de fichier des attachements sont construits de ce qui suit:

–  Il commence avec un des suivants:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Continu par une des extensions fausses suivantes :
   • dat
   • elm
   • log
   • msg
   • txt

    L'extension du fichier est une des suivantes:
   • bat
   • cmd
   • exe
   • pif
   • scr



Voici quelques exemples de la manire dont le nom du fichier de la pice jointe pourrait ressembler:
   • message.msg.exe
   • docs.txt.cmd
   • test.log.bat

L'attachement est une copie du malware lui-mme.

 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

 Porte drobe Serveur de contact:
Le suivant:
   • http://gadesunheranwui.com/**********

En consquence il peut envoyer de l'information. Ceci est fait par l'intermdiaire de la mthode HTTP POST en utilisant un script CGI.

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • MEW 11

Description insérée par Teodor Onisor le mardi 29 août 2006
Description mise à jour par Teodor Onisor le jeudi 14 septembre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.