Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Soccer.A.1
Scoperto:19/06/2006
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:39.904 Byte
Somma di controllo MD5:18dae171a9bd885fbc83e89af23d0072
Versione VDF:6.35.00.43
Versione IVDF:6.35.00.50 - mercoledì 21 giugno 2006
Euristico:HEUR/Malware.Crypted.PSM

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Kaspersky: Email-Worm.Win32.Delf.v
   •  Sophos: W32/Sixem-A
   •  VirusBuster: I-Worm.Delf.QWI


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file maligno
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %SYSDIR%\msctools.exe



Vengono creati i seguenti file:

– Un file che contiene gli indirizzi email recuperati:
   • %SYSDIR%\cats2.jpg

– Un file ad uso temporaneo che pu essere cancellato in seguito:
   • %SYSDIR%\cats.jpg




Prova a scaricare un file:

La posizione la seguente:
   • http://couplesexxx.com/tumbs/**********
Viene salvato in locale sotto: %TEMPDIR%\temps%molte cifre casuali%.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Dldr.Delf.apo

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "nsdevice"="%SYSDIR%\msctools.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "nsdevice"="%SYSDIR%\msctools.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "nsdevice"="%SYSDIR%\msctools.exe"



Viene aggiunta la seguente chiave di registro:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL]
   • "mls"="%numero%"

 Email Contiene un motore SMTP integrato per inviare le email. Verr stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


A:
– Indirizzi email trovati in specifici file sul sistema.


Design delle email:



Da: newsreader@hotmail.com
Oggetto: Naked World Cup game set
Corpo della mail:
   • Nudists are organising their own tribute to the world cup, by staging their own nude soccer game, though it is not clear how the teams will tell each other apart. Good photos ;)
Allegato:
   • soccer_nudist.bmp.exe



Da: todaynews@cnn.com
Oggetto: Crazy soccer fans
Corpo della mail:
   • Crazy soccer fans killed two teens, watch what they make on photos. Please report on this all who know.
Allegato:
   • soccer_pics.jpg.exe



Da: kellyjast@hotmail.com
Oggetto: Please reply me Tomas
Corpo della mail:
   • Halo Markus, i sent my nude pics. Please reply me with you nude photos ;). Best regard You Sweet Kitty
Allegato:
   • kelly_nude_imgs.jpg.exe



Da: hotnews@cnn.com
Oggetto: Soccer fans killed five teens
Corpo della mail:
   • Soccer fans killed five teens, watch what they make on photos. Please report on this all who know.
Allegato:
   • soccer_fans.jpg.exe



Da: lindasal@gmail.com
Oggetto: My tricks for you
Corpo della mail:
   • I wait you photos from New York. I sent my pics where i naked for you. Please reply me. Linda Salivan
Allegato:
   • linda_bigtit.gif.exe

L'allegato una copia del malware stesso.



L'email pu presentarsi come una delle seguenti:




 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • wab; adb; msg; dbx; mbx; mdx; eml; nch; txt; tbb; tbi; html; htm; xml;
      doc; rtf; xls; sht


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • abuse; admin; webmaster; support; submit; service; sendmail; secur;
      samples; ripe.; privacy; postmaster; panda; nothing; nodomai; nobody;
      mydomai; mozilla; linux; kernel; inpris; icrosof; ibm.com; google;
      example; contact; certific; borlan; berkeley; anyone; policy; apache;
      webmin; webmist; random; local; anonymous; addres; defend; kaspersk;
      mcafee; microsof; norton; symantec; virus; reply; report

 Processi terminati Lista dei processi che vengono terminati:
   • _AVP32.EXE; _AVPCC.EXE; _AVPM.EXE; AVP32.EXE; AVPCC.EXE; AVPM.EXE;
      AVP.EXE; iamapp.exe; iamserv.exe; FRW.EXE; blackice.exe; blackd.exe;
      zonealarm.exe; vsmon.exe; VSHWIN32.EXE; VSECOMR.EXE; WEBSCANX.EXE;
      AVCONSOL.EXE; VSSTAT.EXE; OUTPOST.EXE; REGEDIT.EXE; NETSTAT.EXE;
      TASKMGR.EXE; MSCONFIG.EXE; NAVAPW32.EXE; NAVW32.EXE; UPDATE.EXE


 Backdoor Contatta il server:
Il seguente:
   • http://sextraf.com/ms/**********

Come risultato pu inviare alcune informazioni. Questo fatto tramite il metodo HTTP POST utilizzando uno script PHP.


Invia informazioni riguardanti:
     Indirizzi email recuperati

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • FSG

Descrizione inserita da Victor Tone su lunedì 19 giugno 2006
Descrizione aggiornata da Andrei Ivanes su mercoledì 21 giugno 2006

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.