Nome del virus:Worm/Soccer.A.1
Scoperto:19/06/2006
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:39.904 Byte
Somma di controllo MD5:18dae171a9bd885fbc83e89af23d0072
Versione VDF:6.35.00.43
Versione IVDF:6.35.00.50 - mercoledì 21 giugno 2006
Euristico:HEUR/Malware.Crypted.PSM

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Kaspersky: Email-Worm.Win32.Delf.v
   •  Sophos: W32/Sixem-A
   •  VirusBuster: I-Worm.Delf.QWI


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file “maligno”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %SYSDIR%\msctools.exe



Vengono creati i seguenti file:

– Un file che contiene gli indirizzi email recuperati:
   • %SYSDIR%\cats2.jpg

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • %SYSDIR%\cats.jpg




Prova a scaricare un file:

– La posizione è la seguente:
   • http://couplesexxx.com/tumbs/**********
Viene salvato in locale sotto: %TEMPDIR%\temps%molte cifre casuali%.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Delf.apo

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "nsdevice"="%SYSDIR%\msctools.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "nsdevice"="%SYSDIR%\msctools.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "nsdevice"="%SYSDIR%\msctools.exe"



Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL]
   • "mls"="%numero%"

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


A:
– Indirizzi email trovati in specifici file sul sistema.


Design delle email:



Da: newsreader@hotmail.com
Oggetto: Naked World Cup game set
Corpo della mail:
   • Nudists are organising their own tribute to the world cup, by staging their own nude soccer game, though it is not clear how the teams will tell each other apart. Good photos ;)
Allegato:
   • soccer_nudist.bmp.exe



Da: todaynews@cnn.com
Oggetto: Crazy soccer fans
Corpo della mail:
   • Crazy soccer fans killed two teens, watch what they make on photos. Please report on this all who know.
Allegato:
   • soccer_pics.jpg.exe



Da: kellyjast@hotmail.com
Oggetto: Please reply me Tomas
Corpo della mail:
   • Halo Markus, i sent my nude pics. Please reply me with you nude photos ;). Best regard You Sweet Kitty
Allegato:
   • kelly_nude_imgs.jpg.exe



Da: hotnews@cnn.com
Oggetto: Soccer fans killed five teens
Corpo della mail:
   • Soccer fans killed five teens, watch what they make on photos. Please report on this all who know.
Allegato:
   • soccer_fans.jpg.exe



Da: lindasal@gmail.com
Oggetto: My tricks for you
Corpo della mail:
   • I wait you photos from New York. I sent my pics where i naked for you. Please reply me. Linda Salivan
Allegato:
   • linda_bigtit.gif.exe

L'allegato è una copia del malware stesso.



L'email può presentarsi come una delle seguenti:




 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • wab; adb; msg; dbx; mbx; mdx; eml; nch; txt; tbb; tbi; html; htm; xml;
      doc; rtf; xls; sht


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • abuse; admin; webmaster; support; submit; service; sendmail; secur;
      samples; ripe.; privacy; postmaster; panda; nothing; nodomai; nobody;
      mydomai; mozilla; linux; kernel; inpris; icrosof; ibm.com; google;
      example; contact; certific; borlan; berkeley; anyone; policy; apache;
      webmin; webmist; random; local; anonymous; addres; defend; kaspersk;
      mcafee; microsof; norton; symantec; virus; reply; report

 Processi terminati Lista dei processi che vengono terminati:
   • _AVP32.EXE; _AVPCC.EXE; _AVPM.EXE; AVP32.EXE; AVPCC.EXE; AVPM.EXE;
      AVP.EXE; iamapp.exe; iamserv.exe; FRW.EXE; blackice.exe; blackd.exe;
      zonealarm.exe; vsmon.exe; VSHWIN32.EXE; VSECOMR.EXE; WEBSCANX.EXE;
      AVCONSOL.EXE; VSSTAT.EXE; OUTPOST.EXE; REGEDIT.EXE; NETSTAT.EXE;
      TASKMGR.EXE; MSCONFIG.EXE; NAVAPW32.EXE; NAVW32.EXE; UPDATE.EXE


 Backdoor Contatta il server:
Il seguente:
   • http://sextraf.com/ms/**********

Come risultato può inviare alcune informazioni. Questo è fatto tramite il metodo HTTP POST utilizzando uno script PHP.


Invia informazioni riguardanti:
    • Indirizzi email recuperati

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • FSG

Descrizione inserita da Victor Tone su lunedì 19 giugno 2006
Descrizione aggiornata da Andrei Ivanes su mercoledì 21 giugno 2006

Indietro . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Tutti i diritti riservati.

Il Mio Account

https:// Questa finestra è criptata per tua sicurezza.