Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Scano.E.1
Scoperto:05/05/2006
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:18.046 Byte
Somma di controllo MD5:66613763574390d288cd6096354f8e9e
Versione VDF:6.34.01.41
Versione IVDF:6.34.01.42 - venerdì 5 maggio 2006

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Symantec: W32.Areses.F@mm
   •  Mcafee: W32/Areses.h@MM
   •  TrendMicro: WORM_ARESES.E
   •  Sophos: W32/Scano-E
   •  VirusBuster: I-Worm.Scano.B
   •  Eset: Win32/Scano.E
   •  Bitdefender: Win32.Scano.E@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %WINDIR%\csrss.exe



Copia se stesso dentro un archivio nella seguente posizione:
   • %TEMPDIR%\Message.zip




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://207.46.250.119/g/**********
Al momento dell'analisi questo file non era più disponibile.

– La posizione è la seguente:
   • http://www.microsoft.com/g/**********
Al momento dell'analisi questo file non era più disponibile.

– La posizione è la seguente:
   • http://84.22.161.192/s/**********
Al momento dell'analisi questo file non era più disponibile.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe
   • "Debugger"="%WINDIR%\csrss.exe"



I valori delle seguenti chiavi di registro vengono rimossi:

–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\
   PendingFileRenameOperations
–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\BootExecute

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)


Oggetto:
Uno dei seguenti:
   • Приветик, как твои дел?
   • ЙЫЛЙ?
   • Привет, ты где?
   • Привет, напиши мне!!!
   • Привет! Срочно напиши м!
   • не!
   • дешь?
   • Re: напиши мне!
   • Re: Позвони мне!
   • Re: Ты где?
   • Re: Когда ты мне ответиш
   • Re: Как настроение?
   • Re: Где пропадаешь?



Corpo dell'email:
–  In alcuni casi può essere vuoto.


Il corpo dell’email è come uno dei seguenti:
   • Привет! Я сегодня жду те
   • Сегодня в интернете бу
   • Когда мне напишишь?
   • Приветик!!! Как настроен


File allegato:
Il nome del file allegato è uno dei seguenti:
   • Message.zip
   • File.zip
   • Document.zip
   • README.zip
   • Passwords.zip
   • Readme.zip
   • Important.zip
   • New.zip
   • COOL.zip
   • Archive.zip
   • Fotos.zip
   • private.zip
   • confidential.zip
   • secret.zip
   • images.zip
   • your_documents.zip
   • backup.zip

L'allegato è un archivio che contiene una copia del malware stesso.

 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • .adb; .asp; .cfg; .cgi; .mra; .dbx; .dhtm; .eml; .htm; .html; .jsp;
      .mbx; .mdx; .mht; .mmf; .msg; .nch; .ods; .oft; .php; .pl; .sht;
      .shtm; .stm; .tbb; .txt; .uin; .wab; .wsh; .xls; .xml; .dhtml


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • @microsoft; rating@; f-secur; news; update; .qmail; .gif; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      0000; Mailer-Daemon@; @subscribe; kasp; admin; icrosoft; support;
      ntivi; unix; bsd; linux; listserv; certific; torvalds@; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; spm111@;
      .00; abuse; panda; cafee; spam; pgp; @avp.; noreply; local; root@;
      postmaster@

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %WINDIR%\csrss.exe

    Tutti i seguenti processi:
   • services.exe
   • svchost.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Irina Boldea su lunedì 28 agosto 2006
Descrizione aggiornata da Irina Boldea su martedì 29 agosto 2006

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.