Worm/Warezov.I.1 - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/Warezov.I.1
La date de la découverte:	08/09/2006
Type:	Ver
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Moyen
Potentiel de destruction:	Faible
Fichier statique:	Oui
Taille du fichier:	86.889 Octets
Somme de contrôle MD5:	8420a6819eeb4092039eb4cf88764b3e
Version VDF:	6.35.01.196
Version IVDF:	6.35.01.200

Général Méthode de propagation:
   • Email

Les alias:
   • Mcafee: W32/Stration@MM
   • TrendMicro: WORM_STRATION.AD
   • Sophos: W32/Strati-Gen
   • VirusBuster: trojan Trojan.Opnis.AC
   • Bitdefender: BehavesLike:Trojan.Downloader

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Il affiche le contenu d'un fichier image créé:

Fichiers Il s'autocopie dans l'emplacement suivant:
• %WINDIR%\svchost32.exe

Le fichier suivant est créé:

– %le dossier d'exécution du malware%\%chaîne de caractères aléatoire%.tmp

Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
• http://gadesunheranwui.com/chr/jjjk/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\~%chaîne de caractères aléatoire de deux digits%.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

Registre La clé de registre suivante est ajoutée:

– [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
• "PendingFileRenameOperations"="\??\%WINDIR%\svchost32.exe"

Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:

De:
L'adresse de l'expéditeur est falsifiée.

A:
– Les adresses email trouvés dans des fichiers spécifiques du système.

Sujet:
Un des suivants:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test

Corps:
– Dans certains cas, il peut être vide.
– Le corps contient des caractères aléatoires.

Le corps de l'email est une des lignes:
   • Mail transaction failed. Partial messageis available.
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment.

Pièce jointe:

– Chaîne de caractères aléatoire:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Continué par une des extensions fausses suivantes :
   • dat
   • elm
   • log
   • msg
   • txt

    L'extension du fichier est une des suivantes:
   • scr
   • exe
   • bat
   • pif
   • cmd

L'attachement est une copie du malware lui-même.

L'email pourrait ressembler à un des suivants:

Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• MEW

Voir la description brève ici.

Description inséré par Gabriel Mustata sur Mon, 16 Oct 2006 15:24 (GMT+1)
Description mise à jour par Andrei Gherman sur Tue, 21 Nov 2006 17:34 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back