Nome del virus:Worm/Scan.AD
Scoperto:07/09/2006
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:18.818 Byte
Somma di controllo MD5:9707782c1ecefc5d68fe891a339c1234
Versione VDF:6.35.01.192
Versione IVDF:6.35.01.196 - venerdì 8 settembre 2006

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Symantec: W32.Beagle.EG@mm
   •  Mcafee: W32/Areses.f
   •  TrendMicro: WORM_ARESES.AD
   •  Sophos: W32/Areses-P
   •  VirusBuster: I-Worm.Scano.AJ
   •  Eset: Win32/Scano.AD
   •  Bitdefender: Win32.Scano.AD@mm

Precedentemente individuato come:
   •  HTML/Drop.Scan.AD.1


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %WINDIR%\csrss.exe



Copia se stesso dentro un archivio nella seguente posizione:
   • %TEMPDIR%\Message.zip




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://207.46.250.119/g/**********
Al momento dell'analisi questo file non era più disponibile.

– La posizione è la seguente:
   • http://www.microsoft.com/g/**********
Al momento dell'analisi questo file non era più disponibile.

– La posizione è la seguente:
   • http://84.22.161.192/s/**********
Al momento dell'analisi questo file non era più disponibile.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe
   • "Debugger"="%WINDIR%\csrss.exe"



I valori delle seguenti chiavi di registro vengono rimossi:

–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\
   PendingFileRenameOperations
–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\BootExecute

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)


Oggetto:
Uno dei seguenti:
   • Приветик, как твои дел?
   • ЙЫЛЙ?
   • Привет, ты где?
   • Привет, напиши мне!!!
   • Привет! Срочно напиши м!
   • не!
   • дешь?
   • Re: напиши мне!
   • Re: Позвони мне!
   • Re: Ты где?
   • Re: Когда ты мне ответиш
   • Re: Как настроение?
   • Re: Где пропадаешь?



Corpo dell'email:
–  In alcuni casi può essere vuoto.


Il corpo dell’email è come uno dei seguenti:
   • Привет! Я сегодня жду те
   • Сегодня в интернете бу
   • Когда мне напишишь?
   • Приветик!!! Как настроен


File allegato:
Il nome del file allegato è uno dei seguenti:
   • Message.zip
   • File.zip
   • Document.zip
   • README.zip
   • Passwords.zip
   • Readme.zip
   • Important.zip
   • New.zip
   • COOL.zip
   • Archive.zip
   • Fotos.zip
   • private.zip
   • confidential.zip
   • secret.zip
   • images.zip
   • your_documents.zip
   • backup.zip

L'allegato è un archivio che contiene una copia del malware stesso.

 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • .adb; .asp; .cfg; .cgi; .mra; .dbx; .dhtm; .eml; .htm; .html; .jsp;
      .mbx; .mdx; .mht; .mmf; .msg; .nch; .ods; .oft; .php; .pl; .sht;
      .shtm; .stm; .tbb; .txt; .uin; .wab; .wsh; .xls; .xml; .dhtml


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • @microsoft; rating@; f-secur; news; update; .qmail; .gif; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      0000; Mailer-Daemon@; @subscribe; kasp; admin; icrosoft; support;
      ntivi; unix; bsd; linux; listserv; certific; torvalds@; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; spm111@;
      .00; abuse; panda; cafee; spam; pgp; @avp.; noreply; local; root@;
      postmaster@

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %WINDIR%\csrss.exe

    Tutti i seguenti processi:
   • services.exe
   • svchost.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Irina Boldea su giovedì 31 agosto 2006
Descrizione aggiornata da Irina Boldea su martedì 3 ottobre 2006

Indietro . . . .