Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Stration.C
Scoperto:19/09/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:No
Dimensione del file:~115.000 Byte
Versione VDF:6.36.00.33
Versione IVDF:6.36.00.43 - giovedì 21 settembre 2006

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Kaspersky: Email-Worm.Win32.Warezov.at
   •  Sophos: W32/Stratio-AN


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file
   • Duplica file maligni
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi


Giusto dopo l'esecuzione, avvia un'applicazione Windows che visualizzer la seguente finestra:


 File Si copia alla seguente posizione:
   • %WINDIR%\t2serv.exe



Vengono creati i seguenti file:

File non maligni:
   • %directory di esecuzione del malware%\10.tmp
   • %WINDIR%\tserv.s

– Un file che contiene gli indirizzi email recuperati:
   • %WINDIR%\t2serv.wax

%SYSDIR%\cscdgcde.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware.
%SYSDIR%\esenmqtr.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware.
%SYSDIR%\esenprfl.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware.
%SYSDIR%\e1.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware.
%WINDIR%\t2serv.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware.



Prova a scaricare dei file:

La posizione la seguente:
   • http://www3.vertionkdaseliplim.com/chr/grv/**********
Viene salvato in locale sotto: %TEMPDIR%\~%numero%.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file anch'esso un malware.

La posizione la seguente:
   • http://www3.vertionkdaseliplim.com/chr/grv/**********
Viene salvato in locale sotto: %TEMPDIR%\~%numero%.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi questo file non era pi disponibile.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • t2serv = %WINDIR%\t2serv.exe



Viene cambiata la seguente chiave di registro:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Valore precedente:
   • AppInit_DLLs =
   Nuovo valore:
   • AppInit_DLLs = cscdgcde.dll e1.sll

 Email Contiene un motore SMTP integrato per inviare le email. Verr stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria infezione o addirittura potrebbe non essere infetto. In pi si potrebbero ricevere email bounce che diranno che si infetti. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.
 Indirizzi email raccolti da WAB (Windows Address Book)


Design dell'email:



Da: sec@%dominio del destinatario%
Oggetto: Mail server report.
Corpo della mail:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Allegato:
   • Update-KB%numero%-x86.exe



Da: secur@%dominio del destinatario%
Oggetto: Mail server report.
Corpo della mail:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Allegato:
   • Update-KB%numero%-x86.exe



Da: serv@%dominio del destinatario%
Oggetto: Mail server report.
Corpo della mail:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Allegato:
   • Update-KB%numero%-x86.exe


Oggetto:
Uno dei seguenti:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corpo dell'email:
Il corpo dellemail come uno dei seguenti:
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
   • The message contains Unicode characters and has been sent as a binary attachment


File allegato:
Il nome del file allegato viene estrapolato dai seguenti:

–  Inizia con uno dei seguenti:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    A volte seguito da una delle seguenti estensioni fasulle:
   • dat
   • elm
   • log
   • msg
   • txt

    L'estensione del file una delle seguenti:
   • bat
   • cmd
   • exe
   • pif
   • scr

L'allegato una copia del malware descritto qui: Worm/Warezov.DLL.C



L'email pu presentarsi come una delle seguenti:



 Invio di messaggi Cerca indirizzi:
Cerca il seguente file per gli indirizzi email:
   • %ogni file *.htm%

 Backdoor Contatta il server:
Tutti i seguenti:
   • http://www3.vertionkdaseliplim.com/cgi-bin/**********
   • http://www3.vertionkdaseliplim.com/cgi-bin/**********

Come risultato pu inviare informazioni e potrebbe venire fornito il controllo remoto. Inoltre periodicamente ripete la connessione. Questo fatto tramite i metodi HTTP GET e POST, utilizzando uno script PHP.

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Gherman su lunedì 25 settembre 2006
Descrizione aggiornata da Andrei Gherman su venerdì 20 ottobre 2006

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.