Nome del virus:Worm/Womble.A
Scoperto:29/08/2006
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:No
Dimensione del file:79.360 Byte
Versione VDF:6.35.01.156
Versione IVDF:6.35.01.159 - mercoledì 30 agosto 2006
Euristico:HEUR/Crypted.Patched

 Generale Metodi di propagazione:
   • Email
   • Rete locale


Alias:
   •  Symantec: W32.Womble.A@mm
   •  Kaspersky: Email-Worm.Win32.Womble.a
   •  TrendMicro: WORM_WOMBLE.A
   •  Sophos: W32/Womble-B
   •  VirusBuster: iworm I-Worm.Womble.A
   •  Bitdefender: Win32.Womble.A@mm


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Accesso e controllo del computer da parte di terzi




   %text1%:
   -about_windows
   -antispam
   -congratulations
   -firefox_update
   -free_anti_spyware
   -free_antivirus
   -google_info
   -google_tool
   -google_update
   -ie_update
   -java_update
   -inet
   -mail_control
   -mails_list
   -ms_office_update
   -net_update
   -new_picture
   -new_win_patch
   -picture
   -remove_spyware
   -some_info
   -www
   -yahoo_info
   -yahoo_tool
   -your_friends
   
   %text2%:
   -dvd
   -dvd_info
   -free
   -h_core
   -l_this
   -lunch
   -mp3
   -new_mp3
   -new_video
   -photo
   -sh_docs
   -take_it
   -video
   -xxx

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\%file eseguiti%
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.exe
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.pif
   • \\%computer nel dominio corrente%\%condivisioni di rete%\%text1%.exe
   • \\%computer nel dominio corrente%\%condivisioni di rete%\%text1%.pif



Vengono creati i seguenti file:

– %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.wmf Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: EXP/MS06-001.WMF

– %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.jpg Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: EXP/MS06-001.WMF

– \\%computer nel dominio corrente%\%condivisioni di rete%\%text1%.wmf Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: EXP/MS06-001.WMF

– \\%computer nel dominio corrente%\%condivisioni di rete%\%text1%.jpg Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: EXP/MS06-001.WMF

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe %spazi vuoti% %SYSDIR%\%file eseguiti%"
   • "Userinit"="%SYSDIR%\userinit.exe %spazi vuoti% ,%SYSDIR%\%file eseguiti%"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ms_net_update"="%SYSDIR%\%file eseguiti%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ms_net_update"="%SYSDIR%\%file eseguiti%"



Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares]
   • "%text2%"=
"CSCFlags=0
MaxUses=1000
Path=%HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%
Permissions=127
Type=0"

– [HKLM\SOFTWARE\WinUpdate]
   • "Version"=dword:00000003

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L’indirizzo del mittente è l'account Outlook dell'utente.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)


Oggetto:
Uno dei seguenti:
   • !!; Action; Bush; FIFA; Helo; Hi; important; Incredible!!; info; Kiss;
      Laura; Laura and John; Lola; Look at this!!!; Miss Khan; Nataly; Ola;
      Olympus; Paula; pic; pics; private; private pics; Re:; Re: hi; Re:
      info; RE: pic; read this; Robert; Sex



Corpo dell'email:
Il corpo dell’email è come uno dei seguenti:

   • ---------------------------------------------------
     
     There is some info in the attached file !!!
     
     ---------------------------------------------------
     

   • -----------------------------
     
     Zip P A S S : %stringa casuale di nove caratteri%
     
     -----------------------------
     


File allegato:
I nomi dei file allegati vengono estrapolati dai seguenti:

–  Inizia con uno dei seguenti:
   • %text%

Seguito da uno dei seguenti:
   • exe
   • pif

    Seguito da uno dei seguenti:
   • zip

–  Inizia con uno dei seguenti:
   • %text1%

Seguito da uno dei seguenti:
   • exe
   • jpg
   • pif
   • wmf

    Seguito da uno dei seguenti:
   • passw
   • psw

    Seguito da una delle seguenti estensioni fasulle:
   • zip

L'allegato è un archivio che contiene una copia del malware stesso.

L'allegato è una copia del file creato: %text1%.jpg; %text1%.wmf



L'email può presentarsi come una delle seguenti:



 Backdoor Contatta il server:
Tutti i seguenti:
   • http://support.365soft.info/**********
   • http://support.365soft.info/**********
   • http://support.software602.com/**********
   • http://support.software602.com/**********
   • http://anyproxy.net/**********
   • http://anyproxy.net/**********
   • http://support.enviroweb.org/**********
   • http://support.enviroweb.org/**********
   • http://support.nikontech.com/**********
   • http://support.nikontech.com/**********
   • http://email-support.seekful.com/**********
   • http://email-support.seekful.com/**********
   • http://mymail.100hotmail.com/**********
   • http://mymail.100hotmail.com/**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.


Invia informazioni riguardanti:
    • Stato corrente del malware


Capacità di controllo remoto:
    • Download di file

 Varie Collegamento a internet:
Per verificare la propria connessione internet, vengono contattati i seguenti server DNS:
   • *.GTLD-SERVERS.net
   • *.root-servers.net
   • *.DE.NET
   • *.NIC.DE


Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • http://www.sun.com/index.html


Mutex:
Crea il seguente Mutex:
   • wmf.mtx.3

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Andrei Ivanes su martedì 29 agosto 2006
Descrizione aggiornata da Andrei Ivanes su giovedì 31 agosto 2006

Indietro . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Tutti i diritti riservati.

Il Mio Account

https:// Questa finestra è criptata per tua sicurezza.