Nome del virus:Worm/Small.B.3
Scoperto:03/06/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:119.296 Byte
Somma di controllo MD5:58180E0Dd5ff2df69979336c343e32f0
Versione VDF:6.34.01.182
Versione IVDF:6.34.01.188 - martedì 6 giugno 2006

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Kaspersky: Email-Worm.Win32.Small.b
   •  TrendMicro: WORM_SMALL.MS
   •  Eset: Win32/PSW.Delf.NAM
   •  Bitdefender: Win32.Olia.A@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file
   • Clona un file “maligno”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sottrae informazioni


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alle seguenti posizioni:
   • %SYSDIR%\krnl32.dll
   • %directory di esecuzione del malware%\photos.exe



Vengono creati i seguenti file:

– File “non maligni”:
   • %SYSDIR%\photo1.jpg
   • %SYSDIR%\photo2.jpg
   • %SYSDIR%\photo3.jpg
   • %impostazioni definite dell'utente%\photo1.jpg
   • %impostazioni definite dell'utente%\photo2.jpg
   • %impostazioni definite dell'utente%\photo3.jpg

%SYSDIR%\krnl32.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Small.B.4

%directory di esecuzione del malware%\~$run.$$$ Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Small.B.4

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • %SYSDIR%\krnl32.exe

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:
In aggiunta ha la capacità di inviare un'email con le informazioni sul sistema. Molto probabilmente il ricevente è l'autore.


Da:
Il mittente dell'email è uno dei seguenti:
   • Olia-muk@rambler.ru
   • ZanOlia@rambler.ru
   • oliechka84@rambler.ru


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)
– Indirizzi generati


Oggetto:
Il seguente:
   • %testo in russo% %data corrente% %ora corrente%



Corpo dell'email:
Il corpo dell’email è come il seguente:
   • %testo in russo%


File allegato:

   • photos.exe

   • photo1.jpg

   • photo2.jpg

   • photo3.jpg


 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • %temporary internet files%\*.htm
   • %temporary internet files%\*.html
   • %temporary internet files%\*.shtml
   • %temporary internet files%\*.phtml
   • %temporary internet files%\*.php
   • %temporary internet files%\*.txt
   • %temporary internet files%\*.pas
   • %temporary internet files%\*.tmp


Server MX:
Non utilizza il server MX standard.
Ha la capacità di contattare il server MX:
   • mail.rambler.ru

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password registrate utilizzate dalla funzione di completamento automatico
– Le informazioni sull'account email sono ottenute dalla chiave di registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Le password dai seguenti programmi:
   • The Bat!
   • Opera

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con i seguenti software di compressione:
   • ASPack
   • UPX

Descrizione inserita da Andrei Gherman su venerdì 9 giugno 2006
Descrizione aggiornata da Andrei Gherman su venerdì 9 giugno 2006

Indietro . . . .