Worm/Stration.F - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/Stration.F
La date de la découverte:	20/11/2006
Type:	Ver
En circulation:	Oui
Infections signalées	Faible a moyen
Potentiel de distribution:	Moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	101.376 Octets
Somme de contrôle MD5:	48b0b7100A933c35d875142f7ff40D66
Version VDF:	6.36.01.54
Version IVDF:	6.36.01.57

Général Méthode de propagation:
   • Email

Avant, il était détecté comme:
   • TR/Dldr.Stration.F

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée des fichiers
   • Il crée un fichier malveillant
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\cserv32.exe

Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %WINDIR%\cserv32.dat
   • %WINDIR%\cserv32.z

– Un fichier qui contient des adresses d'e-mail collectées:
   • %WINDIR%\cserv32.wax

– %SYSDIR%\e1.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • www4.rasetikuinyunhderunsa.com/chr/859/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\~%nombre%.tmp Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "cserv32"="%WINDIR%\cserv32.exe s"

La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   L'ancienne valeur:
   • "AppInit_DLLs"=""
   La nouvelle valeur:
   • "AppInit_DLLs"="e1.dll"

Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:

De:
L'adresse de l'expéditeur est falsifiée.
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.

A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)

Le format des emails:

De: sec@%le domaine du destinataire%
Sujet: Mail server report.
Le corps:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
L'attachement:
   • Update-KB%nombre%-x86.zip

De: secur@%le domaine du destinataire%
Sujet: Mail server report.
Le corps:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
L'attachement:
   • Update-KB%nombre%-x86.zip

De: serv@%le domaine du destinataire%
Sujet: Mail server report.
Le corps:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
L'attachement:
   • Update-KB%nombre%-x86.zip

Sujet:
Un des suivants:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test

Corps:
Le corps de l'email est une des lignes:
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
   • The message contains Unicode characters and has been sent as a binary attachment

Pièce jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

– Il commence avec un des suivants:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Parfois il continue par une des extensions fausses suivantes:
   • dat
   • elm
   • log
   • msg
   • txt

    L'extension du fichier est une des suivantes:
   • bat
   • cmd
   • exe
   • pif
   • scr
   • zip

L'attachement est une copie du malware décrit ci-dessous: TR/Dldr.Stration.F

L'email pourrait ressembler à un des suivants:

Envoie de messages Recherche des adresses:
Il cherche le fichier suivant pour des adresses email:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

Porte dérobée Serveur de contact:
Tous les suivants:
   • http://www2.ertinmdesachlion.com/cgi-bin/**********
   • http://www2.rasetikuinyunhderunsa.com:8082/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Il envoie de l'information au sujet de:
    • Les adresses email recueillies

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Daniel Constantin sur Mon, 20 Nov 2006 14:27 (GMT+1)
Description mise à jour par Andrei Gherman sur Mon, 20 Nov 2006 17:02 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back