Nome del virus:Worm/Anker.P
Scoperto:02/09/2005
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:15.872 Byte
Somma di controllo MD5:0d190e489ecb8c595425eb7543ee2624
Versione VDF:6.31.1.208

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Symantec: W32.Ahker@mm
   •  Mcafee: AgentHacker
   •  Kaspersky: Email-Worm.Win32.Anker.p
   •  TrendMicro: WORM_AHKER.J
   •  F-Secure: W32/Anker.G@mm
   •  VirusBuster: I-Worm.Anker.G
   •  Bitdefender: Win32.Anker.P@mm


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows ME


Effetti secondari:
   • Scarica un file
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %WINDIR%\Bazzi.exe




Prova a scaricare un file:

– La posizione è la seguente:
   • http://www.aliensoftware.co.uk/Files0908/MSWINSCK.OCX
Viene salvato in locale sotto: %SYSDIR%\MSWINSCK.OCX

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft AntiSpyware"="Bazzi.exe"



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\Software\speedBit\Download Accelerator]
   Valore precedente:
   • "BrowserIntegration"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "BrowserIntegration"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valore precedente:
   • "Hidden"="=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Hidden"=dword:00000000

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)


Design delle email:



Da: peter_parker@hotmail.com
Oggetto: Returned mail
Corpo della mail:
   • sendmail daemon reported:
     Error 804 occured during SMTP session. Partial message has been received.



Da: mariah_hillary@aol.com
Oggetto: Delivery Error
Corpo della mail:
   • Mail transaction failed. Partial message is available.



Da: johnloke@msn.uk
Oggetto: Status
Corpo della mail:
   • The message contains Unicode characters and has been sent as a binary attachment.



Da: bazzi@microsoft.com
Oggetto: Server Report
Corpo della mail:
   • The message contains MIME-encoded graphics and has been sent as a binary attachment.



Da: sarah_alia@yahoo.com
Oggetto: Mail Transaction Failed
Corpo della mail:
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.



Da: seniormanager@byblos.com
Oggetto: Mail Delivery System
Corpo della mail:
   • Your credit card was charged for $500 USD. For additional information see the attachment.



Da: michel_bado@gmail.com
Oggetto: Do not reply to this email!
Corpo della mail:
   • ESMTP [Secure Mail System 334]: Secure message is attached.



Da: otacon@konami.jp
Oggetto: Error
Corpo della mail:
   • Encrypted message is available.



Da: majortom@fbi.gov
Oggetto: FWD:Hello
Corpo della mail:
   • You have visited illegal websites!!
     I have a big list of the websites you surfed.



Da: hilton_britgette@ahker.lb
Oggetto: FWD:Hey
Corpo della mail:
   • Bad Gateway: The message has been attached.



Da: billy@hacker.com
Oggetto: There you go!
Corpo della mail:
   • There is the password you requested!



Da: agent@hacker.com
Oggetto: Password Cracked!
Corpo della mail:
   • Hotmail Cracker Version 2.25 attached!


File allegato:
Il nome del file allegato è:
   • Message.Zip

L'allegato è una copia del malware stesso.

 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • doc; slk; txt; wab; htt; htm; html; ppt; hta; hte; htx; pst; shtml;
      stm; asp; rtf; xml; adb; tbb; sht; dbx; uin; abc; abd; vap; abx; ade;
      adp; vbs; adr; bak; bas; vcf; cfg; cgi; cls; wsh; cms; csv; ctl;
      xhtml; dhtm; dsp; dsw; xls; eml; fdb; frm; hlp; imb; imh; imm; inbox;
      ini; jsp; ldb; ldif; log; mbx; mda; mdb; mde; mdw; mdx; mht; mmf; msg;
      nab; nch; nfo; nsf; nws; ods; oft; phtm; pmr

 Processi terminati Il seguente processo viene terminato:
   • DAP.exe


 DoS Esattamente dopo che diventa attivo, inizia un attacco DoS contro la seguente destinazione:
   • http://www.rohitab.com

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Razvan Olteanu su lunedì 5 settembre 2005
Descrizione aggiornata da Razvan Olteanu su lunedì 5 settembre 2005

Indietro . . . .