Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Warezov.Q.1
Scoperto:11/09/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:151.251 Byte
Somma di controllo MD5:abbb2b9923428eb2b396ac70f1b34ad4
Versione VDF:6.35.01.209
Versione IVDF:6.35.01.213 - martedì 12 settembre 2006

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Symantec: W32.Stration.A@mm
   •  Mcafee: W32/Stration@MM
   •  TrendMicro: WORM_STRATION.AZ
   •  Sophos: W32/Stration-S
   •  VirusBuster: I-Worm.Stration.C
   •  Eset: Win32/Stration.AF
   •  Bitdefender: Win32.Warezov.Q@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Blocca l'accesso a siti web di sicurezza
   • Scarica un file “maligno”
   • Duplica file “maligni”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Sottrae informazioni


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alla seguente posizione:
   • %WINDIR%\tsrv.exe



Vengono creati i seguenti file:

– Un file che contiene gli indirizzi email recuperati:
   • %WINDIR%\tsrv.wax

%WINDIR%\tsrv.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Warezov.Q.1

%SYSDIR%\hpzl449c14b7.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Warezov.Q.1

%SYSDIR%\msji449c14b7.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Stration

%SYSDIR%\cmut449c14b7.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Warezov.Q




Prova a scaricare un file:

– La posizione è la seguente:
   • http://yuhadefunjinsa.com/chr/grw/**********
Viene salvato in locale sotto: %TEMPDIR%\~%numero%.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • tsrv = %WINDIR%\tsrv.exe s



Viene cambiata la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Valore precedente:
   • AppInit_DLLs =
   Nuovo valore:
   • AppInit_DLLs = msji449c14b7.dll

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)


Design dell'email:



Da: sec@%dominio del destinatario%
Oggetto: Mail server report.
Corpo della mail:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Allegato:
   • Update-KB%numero%-x86.exe



Da: secur@%dominio del destinatario%
Oggetto: Mail server report.
Corpo della mail:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Allegato:
   • Update-KB%numero%-x86.exe



Da: serv@%dominio del destinatario%
Oggetto: Mail server report.
Corpo della mail:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Allegato:
   • Update-KB%numero%-x86.exe


Oggetto:
Uno dei seguenti:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corpo dell'email:
Il corpo dell’email è come uno dei seguenti:
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
   • The message contains Unicode characters and has been sent as a binary attachment


File allegato:
Il nome del file allegato viene estrapolato dai seguenti:

–  Inizia con uno dei seguenti:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • tex

    Seguito da una delle seguenti estensioni fasulle:
   • dat
   • elm
   • log
   • msg
   • txt

    L'estensione del file è una delle seguenti:
   • bat
   • cmd
   • exe
   • pif
   • scr

L'allegato è una copia del malware stesso.



L'email può presentarsi come una delle seguenti:



 Invio di messaggi Cerca indirizzi:
Cerca il seguente file per gli indirizzi email:
   • %ogni file *.htm%

 Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti non vengono modificati.

– L'accesso ai seguenti domini è effettivamente bloccato:
   • download.microsoft.com; go.microsoft.com; msdn.microsoft.com;
      office.microsoft.com; windowsupdate.microsoft.com;
      http://www.microsoft.com/downloads/Search.aspx?displaylang=en; avp.ru;
      www.avp.ru; http://avp.ru; http://www.avp.ru; kaspersky.ru;
      www.kaspersky.ru; http://kaspersky.ru; kaspersky.com;
      www.kaspersky.com; http://kaspersky.com; kaspersky-labs.com;
      www.kaspersky-labs.com; http://kaspersky-labs.com; avp.ru/download/;
      www.avp.ru/download/; http://www.avp.ru/download/;
      http://www.kaspersky.ru/updates/;
      http://www.kaspersky-labs.com/updates/; http://kaspersky.ru/updates/;
      http://kaspersky-labs.com/updates/; downloads1.kaspersky-labs.com;
      downloads2.kaspersky-labs.com; downloads3.kaspersky-labs.com;
      downloads4.kaspersky-labs.com; downloads5.kaspersky-labs.com;
      http://downloads1.kaspersky-labs.com;
      http://downloads2.kaspersky-labs.com;
      http://downloads3.kaspersky-labs.com;
      http://downloads4.kaspersky-labs.com;
      http://downloads5.kaspersky-labs.com;
      downloads1.kaspersky-labs.com/products/;
      downloads2.kaspersky-labs.com/products/;
      downloads3.kaspersky-labs.com/products/;
      downloads4.kaspersky-labs.com/products/;
      downloads5.kaspersky-labs.com/products/;
      http://downloads1.kaspersky-labs.com/products/;
      http://downloads2.kaspersky-labs.com/products/;
      http://downloads3.kaspersky-labs.com/products/;
      http://downloads4.kaspersky-labs.com/products/;
      http://downloads5.kaspersky-labs.com/products/;
      downloads1.kaspersky-labs.com/updates/;
      downloads2.kaspersky-labs.com/updates/;
      downloads3.kaspersky-labs.com/updates/;
      downloads4.kaspersky-labs.com/updates/;
      downloads5.kaspersky-labs.com/updates/;
      http://downloads1.kaspersky-labs.com/updates/;
      http://downloads2.kaspersky-labs.com/updates/;
      http://downloads3.kaspersky-labs.com/updates/;
      http://downloads4.kaspersky-labs.com/updates/;
      http://downloads5.kaspersky-labs.com/updates/;
      ftp://downloads1.kaspersky-labs.com;
      ftp://downloads2.kaspersky-labs.com;
      ftp://downloads3.kaspersky-labs.com;
      ftp://downloads4.kaspersky-labs.com;
      ftp://downloads5.kaspersky-labs.com;
      ftp://downloads1.kaspersky-labs.com/products/;
      ftp://downloads2.kaspersky-labs.com/products/;
      ftp://downloads3.kaspersky-labs.com/products/;
      ftp://downloads4.kaspersky-labs.com/products/;
      ftp://downloads5.kaspersky-labs.com/products/;
      ftp://downloads1.kaspersky-labs.com/updates/;
      ftp://downloads2.kaspersky-labs.com/updates/;
      ftp://downloads3.kaspersky-labs.com/updates/;
      ftp://downloads4.kaspersky-labs.com/updates/;
      ftp://downloads5.kaspersky-labs.com/updates/;
      http://updates.kaspersky-labs.com/updates/;
      http://updates1.kaspersky-labs.com/updates/;
      http://updates2.kaspersky-labs.com/updates/;
      http://updates3.kaspersky-labs.com/updates/;
      http://updates4.kaspersky-labs.com/updates/;
      ftp://updates.kaspersky-labs.com/updates/;
      ftp://updates1.kaspersky-labs.com/updates/;
      ftp://updates2.kaspersky-labs.com/updates/;
      ftp://updates3.kaspersky-labs.com/updates/;
      ftp://updates4.kaspersky-labs.com/updates/; viruslist.com;
      www.viruslist.com; http://viruslist.com; viruslist.ru;
      www.viruslist.ru; http://viruslist.ru;
      ftp://ftp.kasperskylab.ru/updates/; symantec.com; www.symantec.com;
      http://symantec.com; customer.symantec.com;
      http://customer.symantec.com; liveupdate.symantec.com;
      http://liveupdate.symantec.com; liveupdate.symantecliveupdate.com;
      http://liveupdate.symantecliveupdate.com;
      securityresponse.symantec.com; http://securityresponse.symantec.com;
      service1.symantec.com; http://service1.symantec.com;
      symantec.com/updates; http://symantec.com/updates;
      updates.symantec.com; http://updates.symantec.com; eset.com/;
      www.eset.com/; http://www.eset.com/; eset.com/products/index.php;
      www.eset.com/products/index.php;
      http://www.eset.com/products/index.php; eset.com/download/index.php;
      www.eset.com/download/index.php;
      http://www.eset.com/download/index.php; eset.com/joomla/;
      www.eset.com/joomla/; http://www.eset.com/joomla/; u3.eset.com/;
      http://u3.eset.com/; u4.eset.com/; http://u4.eset.com/;
      www.symantec.com/updates




L'host del file modificato sarà del tipo:


 Backdoor Contatta il server:
Il seguente:
   • http://yuhadefunjinsa.com/cgi-bin/**********

Come risultato può inviare alcune informazioni. Questo è fatto tramite il metodo HTTP POST utilizzando uno script CGI.


Invia informazioni riguardanti:
    • Indirizzi email recuperati
    • Stato corrente del malware

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Gherman su venerdì 15 settembre 2006
Descrizione aggiornata da Andrei Gherman su lunedì 18 settembre 2006

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.