TR/Dldr.Strationee.C - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Dldr.Strationee.C
La date de la découverte:	27/08/2006
Type:	Ver
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Moyen
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	86.071 Octets
Somme de contrôle MD5:	c36a8a8bd64a0C80d227781a864e6ed5
Version VDF:	6.35.01.145
Version IVDF:	6.35.01.148

Général Méthode de propagation:
   • Email

Les alias:
   • Symantec: W32.Stration.A@mm
   • Mcafee: W32/Stration@MM
   • TrendMicro: WORM_STRATION.F
   • Sophos: W32/Stration-G
   • Eset: Win32/Stration.E
   • Bitdefender: Trojan.Downloader.Strationee.C

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée un fichier malveillant
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres

Immédiatement après l'exécution l'information suivante est affichée:

Fichiers Il s'autocopie dans l'emplacement suivant:
• %WINDIR%\svchost32.exe

Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
• gadesunheranwui.com/chr/jjjk/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\ Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:

De:
L'adresse de l'expéditeur est falsifiée.

A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)

Sujet:
Un des suivants:
   • Error
   • picture
   • Status
   • Good day
   • Mail Delivery System
   • Mail Transaction Failed

Corps:
Le corps de l'email est une des lignes:
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • Mail transaction failed. Partial message is available.

Pièce jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

– Il commence avec un des suivants:
   • test
   • file
   • doc
   • document
   • message

    Continué par une des extensions fausses suivantes :
   • dat
   • log
   • msg
   • txt

    L'extension du fichier est une des suivantes:
   • exe
   • cmd
   • pif

L'attachement est une copie du malware lui-même.

L'email ressemble à celui-ci:

Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Voir la description brève ici.

Description inséré par Irina Boldea sur Mon, 23 Oct 2006 14:08 (GMT+1)
Description mise à jour par Irina Boldea sur Mon, 06 Nov 2006 11:55 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour