Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Dldr.Stration.F
La date de la dcouverte:20/11/2006
Type:Cheval de Troie
Sous type:Downloader
En circulation:Oui
Infections signales lev
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Non
Taille du fichier:~32.000 Octets
Version VDF:6.36.01.54
Version IVDF:6.36.01.57 - lundi 20 novembre 2006

 Gnral Mthode de propagation:
   • Il ne possde pas de propre routine de propagation


L'alias:
   •  Kaspersky: Email-Worm.Win32.Warezov.ev
   •  F-Secure: Email-Worm.Win32.Warezov.ev


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il tlcharge un fichier malveillant


Immdiatement aprs l'excution l'information suivante est affiche:



Juste aprs l'excution il lance une application windows qui affiche le fentre suivante:


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\%chane de caractres alatoire%.exe



Le fichier suivant est cr:

Fichier inoffensif:
   • %le dossier d'excution du malware%\%chane de caractres
      alatoire%
.tmp




Il essaie de tlcharger un ficher:

L'emplacement est le suivant:
   • http://www6.rasetikuinyunhderunsa.com/859/**********
Il est sauvegard sur le disque dur local l'emplacement: %TEMPDIR%\~%nombre%.tmp Ensuite, ce fichier est excut aprs avoir t completment tlcharg. Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: Worm/Stration.F

 Email Il n'a pas sa propre routine de propagation mais il a t envoy comme spam par l'intermdiaire de l'email. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.


Le format des emails:



De: sec@%le domaine du destinataire%
Sujet: Mail server report.
Le corps:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Les attachements:
   • Update-KB%nombre%-x86.exe
   • Update-KB%nombre%-x86.zip



De: secur@%le domaine du destinataire%
Sujet: Mail server report.
Le corps:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Les attachements:
   • Update-KB%nombre%-x86.exe
   • Update-KB%nombre%-x86.zip



De: serv@%le domaine du destinataire%
Sujet: Mail server report.
Le corps:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Les attachements:
   • Update-KB%nombre%-x86.exe
   • Update-KB%nombre%-x86.zip


Sujet:
Un des suivants:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corps:
Le corps de l'email est une des lignes:
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
   • The message contains Unicode characters and has been sent as a binary attachment


Pice jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Parfois il continue par une des extensions fausses suivantes:
   • dat
   • elm
   • log
   • msg
   • txt

    L'extension du fichier est une des suivantes:
   • bat
   • cmd
   • exe
   • pif
   • scr
   • zip



L'email pourrait ressembler un des suivants:




 Dtails de fichier Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Andrei Gherman le lundi 20 novembre 2006
Description mise à jour par Andrei Gherman le lundi 20 novembre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.