Nume:Worm/Stration.B.1
Descoperit pe data de:24/08/2006
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:86.048 Bytes
MD5:f973b4c2739d8344d1eb2b7185f55ab0
Versiune VDF:6.35.01.135
Versiune IVDF:6.35.01.138 - venerdì 25 agosto 2006

 General Metoda de raspandire:
   • Email


Alias:
   •  Mcafee: W32/Stration@MM
   •  Kaspersky: Trojan-Downloader.Win32.Agent.atq
   •  F-Secure: Trojan-Downloader.Win32.Agent.atq
   •  Sophos: W32/Stration-E
   •  VirusBuster: Trojan.Opnis.AA
   •  Eset: Win32/Stration.C
   •  Bitdefender: Win32.HLLW.Stration.A


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Utilizeaza propriul motor de email


Dupa activare, ruleaza un program Windows care afiseaza urmatoarea fereastra:


 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\svchost32.exe



Sunt create fisierele:

– Fisier inofensiv:
   • %WINDIR%\svchost32.xml

%directorul de activare malware%\%numar hexazecimal%.tmp Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %combinatie de caractere aleatoare%




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://gadesunheranwui.com/chr/jjjk/**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\~%numar hexazecimal%.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

 Registrii sistemului Urmatoarea cheie din registri este modificata:

– HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
   Noua valoare:
   • "PendingFileRenameOperations"="\??\%WINDIR%\svchost32.exe"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.
Adrese generate. Va rugam nu presupuneti ca a fost intentia expeditorului sa va trimita acest email. Este posibil ca el sa nu stie ca este infectat sau chiar sa nu aiba sistemul infectat. In plus, este posibil sa primiti email-uri returnate care sa va indice ca sunteti infectat, lucru care poate fi de asemenea fals.


Catre:
– Adrese de email gasite pe sistem.
– Adrese generate


Subiect:
Unul din urmatoarele:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corpul email-ului:
Corpul email-ului este unul din textele:
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • The message contains Unicode characters and has been sentas a binary attachment.
   • Mail transaction failed. Partial message is available.


Atasament:
Numele fisierelor atasate este alcatuit dupa cum urmeaza:

–  Incepe cu unul din urmatoarele:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Urmat de una din urmatoarele extensii false:
   • dat
   • elm
   • log
   • msg
   • txt

    Extensia fisierului este una din urmatoarele:
   • bat
   • cmd
   • exe
   • pif
   • scr



Cateva exemple de nume al fisierului atasat:
   • message.msg.exe
   • docs.txt.cmd
   • test.log.bat

Atasamentul este o copie malware.

 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

 Backdoor Servere contactate:
Urmatorul:
   • http://gadesunheranwui.com/**********

Astfel se pot transmite informatii. Aceasta se face prin metoda HTTP POST, folosind un script CGI.

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • MEW 11

Descrizione inserita da Teodor Onisor su martedì 29 agosto 2006
Descrizione aggiornata da Teodor Onisor su giovedì 14 settembre 2006

Indietro . . . .