Descrizione completa

Nome del virus:	Worm/Warezov.DLL.C
Scoperto:	22/09/2006
Tipo:	Worm
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	153.128 Byte
Somma di controllo MD5:	6d5b6945f50dc801208525936d5c24b9
Versione VDF:	6.36.00.50
Versione IVDF:	6.36.00.61 - martedì 26 settembre 2006

Generale Metodo di propagazione:
   • Email

Alias:
   • Mcafee: W32/Stration@MM
   • Kaspersky: Email-Worm.Win32.Warezov.ab
   • TrendMicro: WORM_STRATION.BC
   • F-Secure: Email-Worm.Win32.Warezov.ab
   • Eset: Win32/Stration.AR

Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Blocca l'accesso a siti web di sicurezza
   • Duplica file “maligni”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

Giusto dopo l'esecuzione viene visualizzata la seguente informazione:

File Si copia alla seguente posizione:
   • %WINDIR%\tsrv.exe

Vengono creati i seguenti file:

– Un file che contiene gli indirizzi email recuperati:
   • %WINDIR%\tsrv.wax

– %HOME%\Desktop\%stringa casuale di due caratteri%.tmp Questo è un file di testo “non maligno” con il seguente contenuto:
   • %stringa di caratteri casuale%

– %SYSDIR%\msji449c14b7.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Stration

– %SYSDIR%\cmut449c14b7.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Warezov.AB

– %SYSDIR%\hpzl449c14b7.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Warezov.AB.2

– %WINDIR%\tsrv.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Warezov.AB.1

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "tsrv"="%WINDIR%\tsrv.exe s"

Viene cambiata la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Valore precedente:
   • "AppInit_DLLs"=""
   Nuovo valore:
   • "AppInit_DLLs"=" msji449c14b7.dll"

Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:

Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.

A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)
– Indirizzi generati

Design delle email:

Da: sec@%dominio del destinatario%
Oggetto: Mail server report.
Corpo della mail:
   • Mail server report.

     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
     addresses
     Please install updates for worm elimination and your computer restoring.

     Best regards,
     Customers support service
Allegato:
   • Update-KB%numero%-x86.exe

Da: secur@%dominio del destinatario%
Oggetto: Mail server report.
Corpo della mail:
   • Mail server report.

     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
     addresses
     Please install updates for worm elimination and your computer restoring.

     Best regards,
     Customers support service
Allegato:
   • Update-KB%numero%-x86.exe

Da: serv@%dominio del destinatario%
Oggetto: Mail server report.
Corpo della mail:
   • Mail server report.

     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
     addresses
     Please install updates for worm elimination and your computer restoring.

     Best regards,
     Customers support service
Allegato:
   • Update-KB%numero%-x86.exe

Oggetto:
Uno dei seguenti:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test

Corpo dell'email:
Il corpo dell’email è come uno dei seguenti:

   • Mail transaction failed. Partial message is available.

   • The message cannot be represented in 7-bit ASCII encoding
     and has been sent as a binary attachment

   • The message contains Unicode characters and has been sent
     as a binary attachment.

File allegato:
I nomi dei file allegati vengono estrapolati dai seguenti:

– Inizia con uno dei seguenti:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Seguito da una delle seguenti estensioni fasulle:
   • .elm
   • .msg
   • .dat
   • .txt
   • .log

    L'estensione del file è una delle seguenti:
   • .bat
   • .exe
   • .scr
   • .cmd
   • .pif

L'allegato è una copia del malware stesso.

L'email può presentarsi come una delle seguenti:

Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti non vengono modificati.

– L'accesso ai seguenti domini è effettivamente bloccato:
   • download.microsoft.com; go.microsoft.com; msdn.microsoft.com;
      office.microsoft.com; windowsupdate.microsoft.com;
      http://www.microsoft.com/downloads/Search.aspx?displaylang=en; avp.ru;
      www.avp.ru; http://avp.ru; http://www.avp.ru; kaspersky.ru;
      www.kaspersky.ru; http://kaspersky.ru; kaspersky.com;
      www.kaspersky.com; http://kaspersky.com; kaspersky-labs.com;
      www.kaspersky-labs.com; http://kaspersky-labs.com; avp.ru/download/;
      www.avp.ru/download/; http://www.avp.ru/download/;
      http://www.kaspersky.ru/updates/;
      http://www.kaspersky-labs.com/updates/; http://kaspersky.ru/updates/;
      http://kaspersky-labs.com/updates/; downloads1.kaspersky-labs.com;
      downloads2.kaspersky-labs.com; downloads3.kaspersky-labs.com;
      downloads4.kaspersky-labs.com; downloads5.kaspersky-labs.com;
      http://downloads1.kaspersky-labs.com;
      http://downloads2.kaspersky-labs.com;
      http://downloads3.kaspersky-labs.com;
      http://downloads4.kaspersky-labs.com;
      http://downloads5.kaspersky-labs.com;
      downloads1.kaspersky-labs.com/products/;
      downloads2.kaspersky-labs.com/products/;
      downloads3.kaspersky-labs.com/products/;
      downloads4.kaspersky-labs.com/products/;
      downloads5.kaspersky-labs.com/products/;
      http://downloads1.kaspersky-labs.com/products/;
      http://downloads2.kaspersky-labs.com/products/;
      http://downloads3.kaspersky-labs.com/products/;
      http://downloads4.kaspersky-labs.com/products/;
      http://downloads5.kaspersky-labs.com/products/;
      downloads1.kaspersky-labs.com/updates/;
      downloads2.kaspersky-labs.com/updates/;
      downloads3.kaspersky-labs.com/updates/;
      downloads4.kaspersky-labs.com/updates/;
      downloads5.kaspersky-labs.com/updates/;
      http://downloads1.kaspersky-labs.com/updates/;
      http://downloads2.kaspersky-labs.com/updates/;
      http://downloads3.kaspersky-labs.com/updates/;
      http://downloads4.kaspersky-labs.com/updates/;
      http://downloads5.kaspersky-labs.com/updates/;
      ftp://downloads1.kaspersky-labs.com;
      ftp://downloads2.kaspersky-labs.com;
      ftp://downloads3.kaspersky-labs.com;
      ftp://downloads4.kaspersky-labs.com;
      ftp://downloads5.kaspersky-labs.com;
      ftp://downloads1.kaspersky-labs.com/products/;
      ftp://downloads2.kaspersky-labs.com/products/;
      ftp://downloads3.kaspersky-labs.com/products/;
      ftp://downloads4.kaspersky-labs.com/products/;
      ftp://downloads5.kaspersky-labs.com/products/;
      ftp://downloads1.kaspersky-labs.com/updates/;
      ftp://downloads2.kaspersky-labs.com/updates/;
      ftp://downloads3.kaspersky-labs.com/updates/;
      ftp://downloads4.kaspersky-labs.com/updates/;
      ftp://downloads5.kaspersky-labs.com/updates/;
      http://updates.kaspersky-labs.com/updates/;
      http://updates1.kaspersky-labs.com/updates/;
      http://updates2.kaspersky-labs.com/updates/;
      http://updates3.kaspersky-labs.com/updates/;
      http://updates4.kaspersky-labs.com/updates/;
      ftp://updates.kaspersky-labs.com/updates/;
      ftp://updates1.kaspersky-labs.com/updates/;
      ftp://updates2.kaspersky-labs.com/updates/;
      ftp://updates3.kaspersky-labs.com/updates/;
      ftp://updates4.kaspersky-labs.com/updates/; viruslist.com;
      www.viruslist.com; http://viruslist.com; viruslist.ru;
      www.viruslist.ru; http://viruslist.ru;
      ftp://ftp.kasperskylab.ru/updates/; symantec.com; www.symantec.com;
      http://symantec.com; customer.symantec.com;
      http://customer.symantec.com; liveupdate.symantec.com;
      http://liveupdate.symantec.com; liveupdate.symantecliveupdate.com;
      http://liveupdate.symantecliveupdate.com;
      securityresponse.symantec.com; http://securityresponse.symantec.com;
      service1.symantec.com; http://service1.symantec.com;
      symantec.com/updates; http://symantec.com/updates;
      updates.symantec.com; http://updates.symantec.com; eset.com/;
      www.eset.com/; http://www.eset.com/; eset.com/products/index.php;
      www.eset.com/products/index.php;
      http://www.eset.com/products/index.php; eset.com/download/index.php;
      www.eset.com/download/index.php;
      http://www.eset.com/download/index.php; eset.com/joomla/;
      www.eset.com/joomla/; http://www.eset.com/joomla/; u3.eset.com/;
      http://u3.eset.com/; u4.eset.com/; http://u4.eset.com/;
      www.symantec.com/updates

L'host del file modificato sarà del tipo:

Come il virus si inserisce nei processi – Inserisce il seguente file in un processo: tsrv.dll

Nome del processo:
• %tutti i processi in esecuzione%

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• MEW

Descrizione inserita da Adriana Popa su martedì 26 settembre 2006
Descrizione aggiornata da Adriana Popa su martedì 26 settembre 2006

Indietro . . . .

Prodotti in evidenza

Altri prodotti

I prodotti piu conosciuti

Tutti i prodotti

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti

Prodotti in evidenza

Altri prodotti

I prodotti piu conosciuti

Tutti i prodotti

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti