Nume:Worm/Stration.C.3
Descoperit pe data de:01/09/2006
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:138.849 Bytes
MD5:0Bd44775fadc2e29fc48c7f9ddd89752
Versiune VDF:6.35.01.173
Versiune IVDF:6.35.01.177 - lundi 4 septembre 2006

 General Metoda de raspandire:
   • Email


Alias:
   •  Mcafee: W32/Stration@MM
   •  TrendMicro: WORM_STRATION.CI
   •  Sophos: W32/Stration-P
   •  VirusBuster: iworm Trojan.Opnis.AM
   •  Bitdefender: Win32.Worm.Sumom.D


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Creeaza fisiere malware
   • Utilizeaza propriul motor de email
   • Modificari in registri


Dupa activare, ruleaza un program Windows care afiseaza urmatoarea fereastra:


 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\rsmbx.exe



Sunt create fisierele:

– Fisiere inofensive:
   • %WINDIR%\rsmbx.gfx
   • %WINDIR%\rsmbx.z
   • %directorul de activare malware%\%numar hexazecimal%.tmp

– Un fisier care contine adrese de e-mail:
   • %WINDIR%\rsmbx.wax

– %WINDIR%\rsmbx.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: WORM/Stration.C.2

– %SYSDIR%\hpzl449c14b7.exe
– %SYSDIR%\cmut449c14b7.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: WORM/Stration.C.4

– %SYSDIR%\msji449c14b7.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: WORM/Stration.C.1


– Adresa este urmatoarea:
   • http://gadesunheranwui.com/chr/zjjk/**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\~%numar hexazecimal%.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet. La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "rsmbx"="%WINDIR%\rsmbx.exe s"



Urmatoarea cheie din registri este modificata:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
   Noua valoare:
   • "AppInit_DLLs"=" msji449c14b7.dll"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adrese generate. Va rugam nu presupuneti ca a fost intentia expeditorului sa va trimita acest email. Este posibil ca el sa nu stie ca este infectat sau chiar sa nu aiba sistemul infectat. In plus, este posibil sa primiti email-uri returnate care sa va indice ca sunteti infectat, lucru care poate fi de asemenea fals.


Catre:
– Adrese de email gasite pe sistem.


Subiect:
Unul din urmatoarele:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corpul email-ului:

 
Corpul email-ului este unul din textele:
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • Mail transaction failed. Partial message is available.


Atasament:
Numele fisierelor atasate este alcatuit dupa cum urmeaza:

–  Incepe cu unul din urmatoarele:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

continuand cu una din urmatoarele:
   • dat
   • elm
   • log
   • msg
   • txt

    Continuand cu una din urmatoarele:
   • bat
   • cmd
   • exe
   • pif
   • scr



Cateva exemple de nume al fisierului atasat:
   • docs.dat.cmd
   • file.txt.exe

Atasamentul este o copie malware.



Email-ul arata astfel:


 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • adb; asp; cfg; cgi; dbx; eml; htm; jsp; mbx; mdx; mht; mmf; msg; nch;
      ods; oft; php; sht; stm; tbb; txt; uin; wab


Genereaza adrese pentru campul expeditorului:
Pentru a genera adrese foloseste urmatoarele texte:
   • adam; anna; alice; betty; bob; brenda; brent; brian; carol; claudia;
      craig; cyber; dan; dave; david; debby; den; Donna; frank; george;
      gerhard; helen; james; jane; jayson; jerry; jim; joe; john; karen;
      linda; lisa; mancy; maria; ruth; sandra; sharon; Susan

Poate combina primul text cu unul din urmatoarele:
   • adams; allen; anderson; baker; carter; clark; garcia; gonzalez; green;
      hall; harris; hernandez; hill; jackson; jeremy; joe; kenneth; king;
      lee; lewis; lopez; martinez; miller; molly; moore; nelson; robinson;
      robyn; rodriguez; scott; shaan; taylor; thomas; thompson; walker;
      white; wilson; wright; young


Domeniul este unul din urmatoarele:
   • care2.com; email.myway.com; fastmail.fm; gmail.com; goowy.com;
      hotmail.com; inbox.com; mail.aim.com; mail.com; mail.lycos.com;
      yahoo.com

Iata cateva exemple de adrese generate:
   • john &ltjohn.harris@goowy.com>
   • Susan walker &ltSusan.walker@gmail.com>

 Backdoor Servere contactate:

   • http://gadesunheranwui.com/cgi-bin/**********

Astfel se pot transmite informatii. Aceasta se face prin metoda HTTP POST, folosind un script CGI.


Trimte informatii despre:
    • Statusul actual al malware-ului

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %WINDIR%\rsmbx.dll

    Urmatoarele procese:
   • %toate procesele pornite dupa ce virusul este activ in memorie%
   • Explorer.EXE


 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Ascunde urmatoarele:
– Propriile procese

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Ionut Slaveanu le lundi 25 septembre 2006
Description mise à jour par Ionut Slaveanu le lundi 25 septembre 2006

Retour . . . .