Nome del virus:Worm/Opnis.T.1
Scoperto:24/08/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:85.738 Byte
Somma di controllo MD5:7a44b326e90D03251af24e33826027ba
Versione VDF:6.35.01.132
Versione IVDF:6.35.01.135 - giovedì 24 agosto 2006

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Symantec: W32.Stration.B@mm
   •  Mcafee: W32/Stration@MM
   •  Sophos: W32/Dilworm-A
   •  VirusBuster: Trojan.Opnis.Z
   •  Bitdefender: Trojan.Downloader.Strationee.B


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file “maligno”
   • Utilizza un proprio motore SMTP per l'invio di email


Giusto dopo l'esecuzione, avvia un'applicazione Windows che visualizzerà la seguente finestra:


 File Si copia alla seguente posizione:
   • %WINDIR%\svchost32.exe



Vengono creati i seguenti file:

– File “non maligno”:
   • %WINDIR%\svchost32.xml

%directory di esecuzione del malware%\%numero esadecimale%.tmp



Prova a scaricare un file:

– La posizione è la seguente:
   • http://gadesunheranwui.com/chr/jjjk/**********
Viene salvato in locale sotto: %TEMPDIR%\~%numero esadecimale%.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Strationee.A

 Registro Viene cambiata la seguente chiave di registro:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\
   S-1-5-18\Products\9040820900063D11C8EF00054038389C\Usage
   Nuovo valore:
   • "OUTLOOKFiles"=dword:%numero esadecimale%

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.


Oggetto:
Uno dei seguenti:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corpo dell'email:


Il corpo dell’email è come uno dei seguenti:
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • Mail transaction failed. Partial message is available.


File allegato:
I nomi dei file allegati vengono estrapolati dai seguenti:

–  Inizia con uno dei seguenti:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

Seguito da uno dei seguenti:
   • dat
   • elm
   • log
   • msg
   • txt

    Seguito da uno dei seguenti:
   • bat
   • cmd
   • exe
   • pif
   • scr



Qui ci sono alcuni esempi di come il nome del file allegato potrebbe presentarsi:
   • body.dat.cmd
   • data.txt.pif

L'allegato è una copia del malware stesso.



L’email si presenta come di seguito:


 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb


Generazione dell'indirizzo per il campo FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • Barbara; Betty; Bill; Carol; Charles; Chris; Daniel; David; Don;
      Donna; Dorothy; Edward; Elizabeth; George; Helen; James; Jennifer;
      John; Joseph; Karen; Ken; Linda; Lisa; Margaret; Maria; Mark; Mary;
      Michael; Nancy; Patricia; Paul; Richard; Rob; Ron; Ruth; Sandra;
      Sharon; Steven; Susan; Tom

Potrebbe combinare la prima stringa con una delle seguenti:
   • Adams; Allen; Anderson; Baker; Brown; Carter; Clark; Davis; Garcia;
      Gonzalez; Green; Hall; Harris; Hernandez; Hill; Jackson; Jones;
      Johnson; King; Lee; Lewis; Lopez; Martin; Martinez; Miller; Moore;
      Nelson; Robinson; Rodriguez; Scott; Smith; Taylor; Thomas; Thompson;
      Walker; White; Williams; Wilson; Wright; Young


Il dominio è uno dei seguenti:
   • care2.com; email.myway.com; fastmail.fm; gmail.com; goowy.com;
      hotmail.com; inbox.com; mail.aim.com; mail.com; mail.lycos.com;
      yahoo.com

Qui si possono trovare degli esempi di indirizzi generati:
   • David Lee &ltDavid_1972@email.myway.com>
   • George Lopez &ltGeorge.Lopez@mail.lycos.com>
   • Mark Robinson &ltRobinson_vplxh@goowy.com>

 Backdoor Contatta il server:
Il seguente:
   • http://gadesunheranwui.com/cgi-bin/**********

Come risultato può inviare alcune informazioni. Questo è fatto tramite il metodo HTTP POST utilizzando uno script CGI.


Invia informazioni riguardanti:
    • Stato corrente del malware

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Ionut Slaveanu su lunedì 28 agosto 2006
Descrizione aggiornata da Ionut Slaveanu su lunedì 11 settembre 2006

Indietro . . . .