Worm/Warezov.E.2 - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/Warezov.E.2
La date de la découverte:	29/08/2006
Type:	Ver
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	89.215 Octets
Somme de contrôle MD5:	f7548f09fdf268c39006066270d27900
Version VDF:	6.35.01.157
Version IVDF:	6.35.01.160

Général Méthode de propagation:
   • Email

Les alias:
   • Symantec: W32.Stration.A@mm
   • Mcafee: W32/Stration@MM
   • Kaspersky: Email-Worm.Win32.Warezov.h
   • TrendMicro: WORM_STRATION.H
   • Sophos: W32/Stration-H
   • VirusBuster: Trojan.Opnis.AD
   • Eset: Win32/Stration.H
   • Bitdefender: Win32.HLLW.Stration.A

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée un fichier malveillant
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres

Immédiatement après l'exécution l'information suivante est affichée:

Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\rsmb.exe

Les fichiers suivants sont créés:

– Un fichier qui contient des adresses d'e-mail collectées:
   • %WINDIR%\rsmb.wax

– %WINDIR%\rsmb.gfx
– %le dossier d'exécution du malware%\%chaîne de caractères aléatoire de deux digits%.tmp
– %WINDIR%\rsmb.dll Employé pour cacher un processus. Détecté comme: Worm/Warezov.C

Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • gadesunheranwui.com/chr/zjjk/**********
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "rsmb"="%WINDIR%\rsmb.exe s"

Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:

De:
L'adresse de l'expéditeur est falsifiée.

A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)

Sujet:
Un des suivants:
   • Error
   • picture
   • Status
   • Good day
   • Mail Delivery System
   • Mail Transaction Failed

Corps:
Le corps de l'email est une des lignes:
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • Mail transaction failed. Partial message is available.

Pièce jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

– Il commence avec un des suivants:
   • test
   • file
   • doc
   • document
   • message

    Continué par une des extensions fausses suivantes :
   • dat
   • log
   • msg
   • txt

    L'extension du fichier est une des suivantes:
   • exe
   • cmd
   • pif

L'attachement est une copie du malware lui-même.

L'email ressemble à celui-ci:

Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• MEW

Voir la description brève ici.

Description inséré par Irina Boldea sur Wed, 18 Oct 2006 13:44 (GMT+1)
Description mise à jour par Irina Boldea sur Thu, 19 Oct 2006 15:55 (GMT+1)

» À propos des logiciels malveillants
» À propos de l'hameçonnage
» Virus "in the Wild"

« Retour