Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Stration.C
La date de la dcouverte:19/09/2006
Type:Ver
En circulation:Non
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Non
Taille du fichier:~115.000 Octets
Version VDF:6.36.00.33
Version IVDF:6.36.00.43 - jeudi 21 septembre 2006

 Gnral Mthode de propagation:
   • Email


L'alias:
   •  Kaspersky: Email-Worm.Win32.Warezov.at
   •  Sophos: W32/Stratio-AN


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il tlcharge des fichiers
   • Il cre des fichiers malveillants
   • Il emploie son propre moteur de courrier lectronique
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accs non autoris l'ordinateur


Juste aprs l'excution il lance une application windows qui affiche le fentre suivante:


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\t2serv.exe



Les fichiers suivants sont crs:

Fichiers inoffensifs:
   • %le dossier d'excution du malware%\10.tmp
   • %WINDIR%\tserv.s

– Un fichier qui contient des adresses d'e-mail collectes:
   • %WINDIR%\t2serv.wax

%SYSDIR%\cscdgcde.dll Les investigations ultrieures ont prouv que ce ficher est galement un Malware.
%SYSDIR%\esenmqtr.dll Les investigations ultrieures ont prouv que ce ficher est galement un Malware.
%SYSDIR%\esenprfl.dll Les investigations ultrieures ont prouv que ce ficher est galement un Malware.
%SYSDIR%\e1.dll Les investigations ultrieures ont prouv que ce ficher est galement un Malware.
%WINDIR%\t2serv.dll Les investigations ultrieures ont prouv que ce ficher est galement un Malware.



Il essaie de tlcharger des fichiers:

L'emplacement est le suivant:
   • http://www3.vertionkdaseliplim.com/chr/grv/**********
Il est sauvegard sur le disque dur local l'emplacement: %TEMPDIR%\~%nombre%.tmp Ensuite, ce fichier est excut aprs avoir t completment tlcharg. Les investigations ultrieures ont prouv que ce ficher est galement un Malware.

L'emplacement est le suivant:
   • http://www3.vertionkdaseliplim.com/chr/grv/**********
Il est sauvegard sur le disque dur local l'emplacement: %TEMPDIR%\~%nombre%.tmp Ensuite, ce fichier est excut aprs avoir t completment tlcharg. Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • t2serv = %WINDIR%\t2serv.exe



La cl de registre suivante est change:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   L'ancienne valeur:
   • AppInit_DLLs =
   La nouvelle valeur:
   • AppInit_DLLs = cscdgcde.dll e1.sll

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
Adresses gnres. Ne pas supposer pas que c'tait l'intention de l'expditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infect ou il est possible qu'il ne soit pas du tout infect. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous tes infect. Ceci pourrait galement ne pas tre le cas.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
 les adresses d'email recueillies du WAB (Windows Address Book)


Le format des emails:



De: sec@%le domaine du destinataire%
Sujet: Mail server report.
Le corps:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
L'attachement:
   • Update-KB%nombre%-x86.exe



De: secur@%le domaine du destinataire%
Sujet: Mail server report.
Le corps:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
L'attachement:
   • Update-KB%nombre%-x86.exe



De: serv@%le domaine du destinataire%
Sujet: Mail server report.
Le corps:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
L'attachement:
   • Update-KB%nombre%-x86.exe


Sujet:
Un des suivants:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corps:
Le corps de l'email est une des lignes:
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
   • The message contains Unicode characters and has been sent as a binary attachment


Pice jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Parfois il continue par une des extensions fausses suivantes:
   • dat
   • elm
   • log
   • msg
   • txt

    L'extension du fichier est une des suivantes:
   • bat
   • cmd
   • exe
   • pif
   • scr

L'attachement est une copie du malware dcrit ci-dessous: Worm/Warezov.DLL.C



L'email pourrait ressembler un des suivants:



 Envoie de messages Recherche des adresses:
Il cherche le fichier suivant pour des adresses email:
   • %chaque ficher *.htm %

 Porte drobe Serveur de contact:
Tous les suivants:
   • http://www3.vertionkdaseliplim.com/cgi-bin/**********
   • http://www3.vertionkdaseliplim.com/cgi-bin/**********

En consquence il peut envoyer de l'information et fournir d'accs distance. En plus, il rpte la connexion priodiquement. Ceci est fait par l'intermdiaire des mthodes PHP, HTTP GET et POST

 Dtails de fichier Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Andrei Gherman le lundi 25 septembre 2006
Description mise à jour par Andrei Gherman le vendredi 20 octobre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.