Description complète

Nom:	Worm/Warezov.AM.6
La date de la découverte:	29/09/2006
Type:	Ver
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	204.851 Octets
Somme de contrôle MD5:	632810eabc99e2b9cd6fe57f9da8739e
Version VDF:	6.36.00.49
Version IVDF:	6.36.00.60 - mardi 26 septembre 2006

Général Méthode de propagation:
   • Email

Les alias:
   • Mcafee: W32/Stration@MM
   • Kaspersky: Email-Worm.Win32.Warezov.am
   • Sophos: W32/Stration-AD
   • Eset: Win32/Stration.CX

Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge des fichiers
   • Il crée des fichiers malveillants
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il vole de l'information

Fichiers Les fichiers suivants sont créés:

– %SYSDIR%\actxippr.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: WORM/Warezov.AM.5

– %SYSDIR%\slbcslay.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: WORM/Warezov.AM.1

– %SYSDIR%\acac.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: WORM/Warezov.AM.4

– %SYSDIR%\mtxlcomm.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: WORM/Warezov.AM.2

– %SYSDIR%\lsaswdmi.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: WORM/Warezov.AM.3

Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://www5.cedesunjerinkas.com/chr/wtb/**********
Ensuite, ce fichier est exécuté après avoir été completment téléchargé.

– L'emplacement est le suivant:
   • http://www.traferreg.com/chr/zzzx/e/**********
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– L'emplacement est le suivant:
   • http://www.traferreg.com/chr/zzzx/e/**********

– L'emplacement est le suivant:
   • http://www.traferreg.com/chr/zzzx/**********
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

Registre Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   acac]
   • "Image"="%le dossier d'exécution du malware%\%le fichier exécuté%"
   • "Asynchronous"=dword:00000000
   • "Impersonate"=dword:00000000
   • "Shutdown"="WlxShutdownEvent"
   • "Startup"="WlxStartupEvent"
   • "DllName"="%SYSDIR%\acac.dll"

– [HKLM\Software\Microsoft\scrrnpwm]

La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   La nouvelle valeur:
   • "AppInit_DLLs"=" actxippr.dll lsaswdmi.dll"

Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:

De:
L'adresse de l'expéditeur est falsifiée.
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.

A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– Les adresses créées

Sujet:
Un des suivants:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail server report.
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test

Corps:
Le corps de l'email est un des suivants:

   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
     addresses
     Please install updates for worm elimination and your computer restoring.

     Best regards,
     Customers support service

   • Mail transaction failed. Partial message is available.

   • The message cannot be represented in 7-bit ASCII encoding
     and has been sent as a binary attachment

Pièce jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

– Chaîne de caractères aléatoire:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text
   • Update-KB%mots aléatoires%-x86

    Continué par une des extensions fausses suivantes :
   • dat
   • elm
   • log
   • msg
   • txt
   • zip
   • exe

    L'extension du fichier est une des suivantes:
   • cmd
   • scr
   • exe
   • pif
   • bat

L'attachement est une copie du malware lui-même.

L'email pourrait ressembler à un des suivants:

Porte dérobée Serveur de contact:
Le suivant:
   • http://www3.cedesunjerinkas.com/cgi-bin/**********

Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script PHP.

Il envoie de l'information au sujet de:
    • Le statut courant du malware
    • Information sur le système d'exploitation Windows

L'injection du code viral dans d'autres processus – Il injecte le fichier suivant dans un processus: %SYSDIR%\mtxlcomm.dll

    Tous les processus suivants:
   • iexplore.exe
   • %Processus avec les fenêtres visibles%

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• MEW

Description insérée par Monica Ghitun le vendredi 29 septembre 2006
Description mise à jour par Andrei Ivanes le mardi 24 octobre 2006

Retour . . . .