Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Stration.1
La date de la dcouverte:30/08/2006
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:89.829 Octets
Somme de contrle MD5:029c3f07c57a67df871153701abbe23d
Version VDF:6.35.01.162
Version IVDF:6.35.01.166 - jeudi 31 août 2006

 Gnral Mthode de propagation:
   • Email


Les alias:
   •  Kaspersky: Email-Worm.Win32.Warezov.h
   •  TrendMicro: WORM_STRATION.BR
   •  Eset: Win32/Stration.T


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il tlcharge un fichier malveillant
   • Il cre un fichier malveillant
   • Il emploie son propre moteur de courrier lectronique
   • Il modifie des registres


Immdiatement aprs l'excution l'information suivante est affiche:


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\rsmb.exe



Les fichiers suivants sont crs:

– Un fichier qui contient des adresses d'e-mail collectes:
   • %WINDIR%\rsmb.wax

%WINDIR%\rsmb.gfx
%le dossier d'excution du malware%\%chane de caractres alatoire de deux digits%.tmp
%WINDIR%\rsmb.dll Employ pour cacher un processus. Dtect comme: WORM/Stration.5




Il essaie de tlcharger un ficher:

L'emplacement est le suivant:
   • gadesunheranwui.com/chr/zjjk/**********
Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "rsmb"="%WINDIR%\rsmb.exe s"

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
 les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Un des suivants:
   • Error
   • picture
   • Status
   • Good day
   • Mail Delivery System
   • Mail Transaction Failed



Corps:
Le corps de l'email est une des lignes:
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • Mail transaction failed. Partial message is available.


Pice jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • test
   • file
   • doc
   • document
   • message

    Continu par une des extensions fausses suivantes :
   • dat
   • log
   • msg
   • txt

    L'extension du fichier est une des suivantes:
   • exe
   • cmd
   • pif

L'attachement est une copie du malware lui-mme.



L'email ressemble celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • MEW

Description insérée par Irina Boldea le jeudi 23 novembre 2006
Description mise à jour par Irina Boldea le jeudi 23 novembre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.