Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Stration.B.1
La date de la découverte:24/08/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:86.048 Octets
Somme de contrôle MD5:f973b4c2739d8344d1eb2b7185f55ab0
Version VDF:6.35.01.135
Version IVDF:6.35.01.138 - vendredi 25 août 2006

 Général Méthode de propagation:
   • Email


Les alias:
   •  Mcafee: W32/Stration@MM
   •  Kaspersky: Trojan-Downloader.Win32.Agent.atq
   •  F-Secure: Trojan-Downloader.Win32.Agent.atq
   •  Sophos: W32/Stration-E
   •  VirusBuster: Trojan.Opnis.AA
   •  Eset: Win32/Stration.C
   •  Bitdefender: Win32.HLLW.Stration.A


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il emploie son propre moteur de courrier électronique


Juste après l'exécution il lance une application windows qui affiche le fenêtre suivante:


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\svchost32.exe



Les fichiers suivants sont créés:

– Fichier inoffensif:
   • %WINDIR%\svchost32.xml

%le dossier d'exécution du malware%\%numéro hexadécimal%.tmp Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %chaîne de caractères aléatoire%




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://gadesunheranwui.com/chr/jjjk/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\~%numéro hexadécimal%.tmp Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

 Registre La clé de registre suivante est changée:

– HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
   La nouvelle valeur:
   • "PendingFileRenameOperations"="\??\%WINDIR%\svchost32.exe"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– Les adresses créées


Sujet:
Un des suivants:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corps:
Le corps de l'email est une des lignes:
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • The message contains Unicode characters and has been sentas a binary attachment.
   • Mail transaction failed. Partial message is available.


Pièce jointe:
Les noms de fichier des attachements sont construits de ce qui suit:

–  Il commence avec un des suivants:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Continué par une des extensions fausses suivantes :
   • dat
   • elm
   • log
   • msg
   • txt

    L'extension du fichier est une des suivantes:
   • bat
   • cmd
   • exe
   • pif
   • scr



Voici quelques exemples de la manière dont le nom du fichier de la pièce jointe pourrait ressembler:
   • message.msg.exe
   • docs.txt.cmd
   • test.log.bat

L'attachement est une copie du malware lui-même.

 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

 Porte dérobée Serveur de contact:
Le suivant:
   • http://gadesunheranwui.com/**********

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script CGI.

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • MEW 11

Description insérée par Teodor Onisor le mardi 29 août 2006
Description mise à jour par Teodor Onisor le jeudi 14 septembre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.