Nom:Worm/Stration.1
La date de la découverte:30/08/2006
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:89.829 Octets
Somme de contrôle MD5:029c3f07c57a67df871153701abbe23d
Version VDF:6.35.01.162
Version IVDF:6.35.01.166 - jeudi 31 août 2006

 Général Méthode de propagation:
   • Email


Les alias:
   •  Kaspersky: Email-Worm.Win32.Warezov.h
   •  TrendMicro: WORM_STRATION.BR
   •  Eset: Win32/Stration.T


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée un fichier malveillant
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\rsmb.exe



Les fichiers suivants sont créés:

– Un fichier qui contient des adresses d'e-mail collectées:
   • %WINDIR%\rsmb.wax

%WINDIR%\rsmb.gfx
%le dossier d'exécution du malware%\%chaîne de caractères aléatoire de deux digits%.tmp
%WINDIR%\rsmb.dll Employé pour cacher un processus. Détecté comme: WORM/Stration.5




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • gadesunheranwui.com/chr/zjjk/**********
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "rsmb"="%WINDIR%\rsmb.exe s"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Un des suivants:
   • Error
   • picture
   • Status
   • Good day
   • Mail Delivery System
   • Mail Transaction Failed



Corps:
Le corps de l'email est une des lignes:
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • Mail transaction failed. Partial message is available.


Pièce jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • test
   • file
   • doc
   • document
   • message

    Continué par une des extensions fausses suivantes :
   • dat
   • log
   • msg
   • txt

    L'extension du fichier est une des suivantes:
   • exe
   • cmd
   • pif

L'attachement est une copie du malware lui-même.



L'email ressemble à celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • MEW

Description insérée par Irina Boldea le jeudi 23 novembre 2006
Description mise à jour par Irina Boldea le jeudi 23 novembre 2006

Retour . . . .