Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Warezov.Q.1
La date de la découverte:11/09/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:151.251 Octets
Somme de contrôle MD5:abbb2b9923428eb2b396ac70f1b34ad4
Version VDF:6.35.01.209
Version IVDF:6.35.01.213 - mardi 12 septembre 2006

 Général Méthode de propagation:
   • Email


Les alias:
   •  Symantec: W32.Stration.A@mm
   •  Mcafee: W32/Stration@MM
   •  TrendMicro: WORM_STRATION.AZ
   •  Sophos: W32/Stration-S
   •  VirusBuster: I-Worm.Stration.C
   •  Eset: Win32/Stration.AF
   •  Bitdefender: Win32.Warezov.Q@mm


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il bloque l'accès aux sites web de sécurité
   • Il télécharge un fichier malveillant
   • Il crée des fichiers malveillants
   • Il emploie son propre moteur de courrier électronique
   • Il vole de l'information


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\tsrv.exe



Les fichiers suivants sont créés:

– Un fichier qui contient des adresses d'e-mail collectées:
   • %WINDIR%\tsrv.wax

%WINDIR%\tsrv.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Warezov.Q.1

%SYSDIR%\hpzl449c14b7.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Warezov.Q.1

%SYSDIR%\msji449c14b7.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Stration

%SYSDIR%\cmut449c14b7.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Warezov.Q




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://yuhadefunjinsa.com/chr/grw/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\~%nombre%.tmp Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • tsrv = %WINDIR%\tsrv.exe s



La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   L'ancienne valeur:
   • AppInit_DLLs =
   La nouvelle valeur:
   • AppInit_DLLs = msji449c14b7.dll

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)


Le format des emails:
 


De: sec@%le domaine du destinataire%
Sujet: Mail server report.
Le corps:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
L'attachement:
   • Update-KB%nombre%-x86.exe
 


De: secur@%le domaine du destinataire%
Sujet: Mail server report.
Le corps:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
L'attachement:
   • Update-KB%nombre%-x86.exe
 


De: serv@%le domaine du destinataire%
Sujet: Mail server report.
Le corps:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
L'attachement:
   • Update-KB%nombre%-x86.exe


Sujet:
Un des suivants:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corps:
Le corps de l'email est une des lignes:
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
   • The message contains Unicode characters and has been sent as a binary attachment


Pièce jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • tex

    Continué par une des extensions fausses suivantes :
   • dat
   • elm
   • log
   • msg
   • txt

    L'extension du fichier est une des suivantes:
   • bat
   • cmd
   • exe
   • pif
   • scr

L'attachement est une copie du malware lui-même.



L'email pourrait ressembler à un des suivants:



 Envoie de messages Recherche des adresses:
Il cherche le fichier suivant pour des adresses email:
   • %chaque ficher *.htm %

 Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées déjà existantes ne sont pas modifiées.

– L'accès aux liens URL suivants est effectivement bloqué :
   • download.microsoft.com; go.microsoft.com; msdn.microsoft.com;
      office.microsoft.com; windowsupdate.microsoft.com;
      http://www.microsoft.com/downloads/Search.aspx?displaylang=en; avp.ru;
      www.avp.ru; http://avp.ru; http://www.avp.ru; kaspersky.ru;
      www.kaspersky.ru; http://kaspersky.ru; kaspersky.com;
      www.kaspersky.com; http://kaspersky.com; kaspersky-labs.com;
      www.kaspersky-labs.com; http://kaspersky-labs.com; avp.ru/download/;
      www.avp.ru/download/; http://www.avp.ru/download/;
      http://www.kaspersky.ru/updates/;
      http://www.kaspersky-labs.com/updates/; http://kaspersky.ru/updates/;
      http://kaspersky-labs.com/updates/; downloads1.kaspersky-labs.com;
      downloads2.kaspersky-labs.com; downloads3.kaspersky-labs.com;
      downloads4.kaspersky-labs.com; downloads5.kaspersky-labs.com;
      http://downloads1.kaspersky-labs.com;
      http://downloads2.kaspersky-labs.com;
      http://downloads3.kaspersky-labs.com;
      http://downloads4.kaspersky-labs.com;
      http://downloads5.kaspersky-labs.com;
      downloads1.kaspersky-labs.com/products/;
      downloads2.kaspersky-labs.com/products/;
      downloads3.kaspersky-labs.com/products/;
      downloads4.kaspersky-labs.com/products/;
      downloads5.kaspersky-labs.com/products/;
      http://downloads1.kaspersky-labs.com/products/;
      http://downloads2.kaspersky-labs.com/products/;
      http://downloads3.kaspersky-labs.com/products/;
      http://downloads4.kaspersky-labs.com/products/;
      http://downloads5.kaspersky-labs.com/products/;
      downloads1.kaspersky-labs.com/updates/;
      downloads2.kaspersky-labs.com/updates/;
      downloads3.kaspersky-labs.com/updates/;
      downloads4.kaspersky-labs.com/updates/;
      downloads5.kaspersky-labs.com/updates/;
      http://downloads1.kaspersky-labs.com/updates/;
      http://downloads2.kaspersky-labs.com/updates/;
      http://downloads3.kaspersky-labs.com/updates/;
      http://downloads4.kaspersky-labs.com/updates/;
      http://downloads5.kaspersky-labs.com/updates/;
      ftp://downloads1.kaspersky-labs.com;
      ftp://downloads2.kaspersky-labs.com;
      ftp://downloads3.kaspersky-labs.com;
      ftp://downloads4.kaspersky-labs.com;
      ftp://downloads5.kaspersky-labs.com;
      ftp://downloads1.kaspersky-labs.com/products/;
      ftp://downloads2.kaspersky-labs.com/products/;
      ftp://downloads3.kaspersky-labs.com/products/;
      ftp://downloads4.kaspersky-labs.com/products/;
      ftp://downloads5.kaspersky-labs.com/products/;
      ftp://downloads1.kaspersky-labs.com/updates/;
      ftp://downloads2.kaspersky-labs.com/updates/;
      ftp://downloads3.kaspersky-labs.com/updates/;
      ftp://downloads4.kaspersky-labs.com/updates/;
      ftp://downloads5.kaspersky-labs.com/updates/;
      http://updates.kaspersky-labs.com/updates/;
      http://updates1.kaspersky-labs.com/updates/;
      http://updates2.kaspersky-labs.com/updates/;
      http://updates3.kaspersky-labs.com/updates/;
      http://updates4.kaspersky-labs.com/updates/;
      ftp://updates.kaspersky-labs.com/updates/;
      ftp://updates1.kaspersky-labs.com/updates/;
      ftp://updates2.kaspersky-labs.com/updates/;
      ftp://updates3.kaspersky-labs.com/updates/;
      ftp://updates4.kaspersky-labs.com/updates/; viruslist.com;
      www.viruslist.com; http://viruslist.com; viruslist.ru;
      www.viruslist.ru; http://viruslist.ru;
      ftp://ftp.kasperskylab.ru/updates/; symantec.com; www.symantec.com;
      http://symantec.com; customer.symantec.com;
      http://customer.symantec.com; liveupdate.symantec.com;
      http://liveupdate.symantec.com; liveupdate.symantecliveupdate.com;
      http://liveupdate.symantecliveupdate.com;
      securityresponse.symantec.com; http://securityresponse.symantec.com;
      service1.symantec.com; http://service1.symantec.com;
      symantec.com/updates; http://symantec.com/updates;
      updates.symantec.com; http://updates.symantec.com; eset.com/;
      www.eset.com/; http://www.eset.com/; eset.com/products/index.php;
      www.eset.com/products/index.php;
      http://www.eset.com/products/index.php; eset.com/download/index.php;
      www.eset.com/download/index.php;
      http://www.eset.com/download/index.php; eset.com/joomla/;
      www.eset.com/joomla/; http://www.eset.com/joomla/; u3.eset.com/;
      http://u3.eset.com/; u4.eset.com/; http://u4.eset.com/;
      www.symantec.com/updates




Le fichier hôte modifié ressemblera à ceci:


 Porte dérobée Serveur de contact:
Le suivant:
   • http://yuhadefunjinsa.com/cgi-bin/**********

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script CGI.


Il envoie de l'information au sujet de:
    • Les adresses email recueillies
    • Le statut courant du malware

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Gherman le vendredi 15 septembre 2006
Description mise à jour par Andrei Gherman le lundi 18 septembre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.