Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Stration.C
La date de la découverte:19/09/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Non
Taille du fichier:~115.000 Octets
Version VDF:6.36.00.33
Version IVDF:6.36.00.43 - jeudi 21 septembre 2006

 Général Méthode de propagation:
   • Email


L'alias:
   •  Kaspersky: Email-Worm.Win32.Warezov.at
   •  Sophos: W32/Stratio-AN


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers
   • Il crée des fichiers malveillants
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur


Juste après l'exécution il lance une application windows qui affiche le fenêtre suivante:


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\t2serv.exe



Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %le dossier d'exécution du malware%\10.tmp
   • %WINDIR%\tserv.s

– Un fichier qui contient des adresses d'e-mail collectées:
   • %WINDIR%\t2serv.wax

%SYSDIR%\cscdgcde.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
%SYSDIR%\esenmqtr.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
%SYSDIR%\esenprfl.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
%SYSDIR%\e1.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
%WINDIR%\t2serv.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.



Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://www3.vertionkdaseliplim.com/chr/grv/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\~%nombre%.tmp Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • http://www3.vertionkdaseliplim.com/chr/grv/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\~%nombre%.tmp Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • t2serv = %WINDIR%\t2serv.exe



La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   L'ancienne valeur:
   • AppInit_DLLs =
   La nouvelle valeur:
   • AppInit_DLLs = cscdgcde.dll e1.sll

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)


Le format des emails:
 


De: sec@%le domaine du destinataire%
Sujet: Mail server report.
Le corps:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
L'attachement:
   • Update-KB%nombre%-x86.exe
 


De: secur@%le domaine du destinataire%
Sujet: Mail server report.
Le corps:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
L'attachement:
   • Update-KB%nombre%-x86.exe
 


De: serv@%le domaine du destinataire%
Sujet: Mail server report.
Le corps:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
L'attachement:
   • Update-KB%nombre%-x86.exe


Sujet:
Un des suivants:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corps:
Le corps de l'email est une des lignes:
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
   • The message contains Unicode characters and has been sent as a binary attachment


Pièce jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Parfois il continue par une des extensions fausses suivantes:
   • dat
   • elm
   • log
   • msg
   • txt

    L'extension du fichier est une des suivantes:
   • bat
   • cmd
   • exe
   • pif
   • scr

L'attachement est une copie du malware décrit ci-dessous: Worm/Warezov.DLL.C



L'email pourrait ressembler à un des suivants:



 Envoie de messages Recherche des adresses:
Il cherche le fichier suivant pour des adresses email:
   • %chaque ficher *.htm %

 Porte dérobée Serveur de contact:
Tous les suivants:
   • http://www3.vertionkdaseliplim.com/cgi-bin/**********
   • http://www3.vertionkdaseliplim.com/cgi-bin/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. En plus, il répète la connexion périodiquement. Ceci est fait par l'intermédiaire des méthodes PHP, HTTP GET et POST

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Gherman le lundi 25 septembre 2006
Description mise à jour par Andrei Gherman le vendredi 20 octobre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.