Nom:Worm/Stration.C.3
La date de la découverte:01/09/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:138.849 Octets
Somme de contrôle MD5:0Bd44775fadc2e29fc48c7f9ddd89752
Version VDF:6.35.01.173
Version IVDF:6.35.01.177 - lundi 4 septembre 2006

 Général Méthode de propagation:
   • Email


Les alias:
   •  Mcafee: W32/Stration@MM
   •  TrendMicro: WORM_STRATION.CI
   •  Sophos: W32/Stration-P
   •  VirusBuster: iworm Trojan.Opnis.AM
   •  Bitdefender: Win32.Worm.Sumom.D


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée des fichiers malveillants
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres


Juste après l'exécution il lance une application windows qui affiche le fenêtre suivante:


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\rsmbx.exe



Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %WINDIR%\rsmbx.gfx
   • %WINDIR%\rsmbx.z
   • %le dossier d'exécution du malware%\%numéro hexadécimal%.tmp

– Un fichier qui contient des adresses d'e-mail collectées:
   • %WINDIR%\rsmbx.wax

%WINDIR%\rsmbx.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: WORM/Stration.C.2

%SYSDIR%\hpzl449c14b7.exe
%SYSDIR%\cmut449c14b7.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: WORM/Stration.C.4

%SYSDIR%\msji449c14b7.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: WORM/Stration.C.1


– L'emplacement est le suivant:
   • http://gadesunheranwui.com/chr/zjjk/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\~%numéro hexadécimal%.tmp Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "rsmbx"="%WINDIR%\rsmbx.exe s"



La clé de registre suivante est changée:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
   La nouvelle valeur:
   • "AppInit_DLLs"=" msji449c14b7.dll"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.


Sujet:
Un des suivants:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corps:

 
Le corps de l'email est une des lignes:
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • Mail transaction failed. Partial message is available.


Pièce jointe:
Les noms de fichier des attachements sont construits de ce qui suit:

–  Il commence avec un des suivants:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

Continué par un des suivants:
   • dat
   • elm
   • log
   • msg
   • txt

   • bat
   • cmd
   • exe
   • pif
   • scr



Voici quelques exemples de la manière dont le nom du fichier de la pièce jointe pourrait ressembler:
   • docs.dat.cmd
   • file.txt.exe

L'attachement est une copie du malware lui-même.



L'email ressemble à celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • adb; asp; cfg; cgi; dbx; eml; htm; jsp; mbx; mdx; mht; mmf; msg; nch;
      ods; oft; php; sht; stm; tbb; txt; uin; wab


La création des adresses pour champ DE:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • adam; anna; alice; betty; bob; brenda; brent; brian; carol; claudia;
      craig; cyber; dan; dave; david; debby; den; Donna; frank; george;
      gerhard; helen; james; jane; jayson; jerry; jim; joe; john; karen;
      linda; lisa; mancy; maria; ruth; sandra; sharon; Susan

Il pourrait combiner la première chaîne de caractères avec l'une des suivantes:
   • adams; allen; anderson; baker; carter; clark; garcia; gonzalez; green;
      hall; harris; hernandez; hill; jackson; jeremy; joe; kenneth; king;
      lee; lewis; lopez; martinez; miller; molly; moore; nelson; robinson;
      robyn; rodriguez; scott; shaan; taylor; thomas; thompson; walker;
      white; wilson; wright; young


Le domaine est un de ceux qui suivent:
   • care2.com; email.myway.com; fastmail.fm; gmail.com; goowy.com;
      hotmail.com; inbox.com; mail.aim.com; mail.com; mail.lycos.com;
      yahoo.com

Voici des exemples des adresses crées:
   • john &ltjohn.harris@goowy.com>
   • Susan walker &ltSusan.walker@gmail.com>

 Porte dérobée Serveur de contact:
Le suivant:
   • http://gadesunheranwui.com/cgi-bin/**********

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script CGI.


Il envoie de l'information au sujet de:
    • Le statut courant du malware

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %WINDIR%\rsmbx.dll

    Tous les processus suivants:
   • %tous les procès redémarrés après le Malware est actif en mémoire%
   • Explorer.EXE


 La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.


Il cache les suivants:
– Ses propres processus

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Ionut Slaveanu le lundi 25 septembre 2006
Description mise à jour par Ionut Slaveanu le lundi 25 septembre 2006

Retour . . . .