Nome del virus:Worm/Stration.B.1
Scoperto:24/08/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:86.048 Byte
Somma di controllo MD5:f973b4c2739d8344d1eb2b7185f55ab0
Versione VDF:6.35.01.135
Versione IVDF:6.35.01.138 - venerdì 25 agosto 2006

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Mcafee: W32/Stration@MM
   •  Kaspersky: Trojan-Downloader.Win32.Agent.atq
   •  F-Secure: Trojan-Downloader.Win32.Agent.atq
   •  Sophos: W32/Stration-E
   •  VirusBuster: Trojan.Opnis.AA
   •  Eset: Win32/Stration.C
   •  Bitdefender: Win32.HLLW.Stration.A


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file “maligno”
   • Utilizza un proprio motore SMTP per l'invio di email


Giusto dopo l'esecuzione, avvia un'applicazione Windows che visualizzerà la seguente finestra:


 File Si copia alla seguente posizione:
   • %WINDIR%\svchost32.exe



Vengono creati i seguenti file:

– File “non maligno”:
   • %WINDIR%\svchost32.xml

%directory di esecuzione del malware%\%numero esadecimale%.tmp Questo è un file di testo “non maligno” con il seguente contenuto:
   • %stringa di caratteri casuale%




Prova a scaricare un file:

– La posizione è la seguente:
   • http://gadesunheranwui.com/chr/jjjk/**********
Viene salvato in locale sotto: %TEMPDIR%\~%numero esadecimale%.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

 Registro Viene cambiata la seguente chiave di registro:

– HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
   Nuovo valore:
   • "PendingFileRenameOperations"="\??\%WINDIR%\svchost32.exe"

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi generati


Oggetto:
Uno dei seguenti:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corpo dell'email:
Il corpo dell’email è come uno dei seguenti:
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • The message contains Unicode characters and has been sentas a binary attachment.
   • Mail transaction failed. Partial message is available.


File allegato:
I nomi dei file allegati vengono estrapolati dai seguenti:

–  Inizia con uno dei seguenti:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Seguito da una delle seguenti estensioni fasulle:
   • dat
   • elm
   • log
   • msg
   • txt

    L'estensione del file è una delle seguenti:
   • bat
   • cmd
   • exe
   • pif
   • scr



Qui ci sono alcuni esempi di come il nome del file allegato potrebbe presentarsi:
   • message.msg.exe
   • docs.txt.cmd
   • test.log.bat

L'allegato è una copia del malware stesso.

 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

 Backdoor Contatta il server:
Il seguente:
   • http://gadesunheranwui.com/**********

Come risultato può inviare alcune informazioni. Questo è fatto tramite il metodo HTTP POST utilizzando uno script CGI.

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • MEW 11

Descrizione inserita da Teodor Onisor su martedì 29 agosto 2006
Descrizione aggiornata da Teodor Onisor su giovedì 14 settembre 2006

Indietro . . . .