Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Scano.L
Scoperto:27/04/2006
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:18.346 Byte
Somma di controllo MD5:c6681169cc2f1e40fe3dd47bb49d83f0
Versione VDF:6.34.01.14 - giovedì 27 aprile 2006
Versione IVDF:6.34.01.14 - giovedì 27 aprile 2006

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Mcafee: W32/Areses.f
   •  TrendMicro: WORM_BAGLE.EP
   •  Sophos: W32/Bagle-GY
   •  VirusBuster: I-Worm.Scano.H
   •  Eset: Win32/Scano.L
   •  Bitdefender: Win32.Worm.Scano.L

Precedentemente individuato come:
     HTML/Drop.Scan.AD.1


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %WINDIR%\csrss.exe



Copia se stesso dentro un archivio nella seguente posizione:
   • %TEMPDIR%\Message.zip




Prova a scaricare dei file:

La posizione la seguente:
   • http://207.46.250.119/g/**********
Al momento dell'analisi questo file non era pi disponibile.

La posizione la seguente:
   • http://www.microsoft.com/g/**********
Al momento dell'analisi questo file non era pi disponibile.

La posizione la seguente:
   • http://84.22.161.192/s/**********
Al momento dell'analisi questo file non era pi disponibile.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe
   • "Debugger"="%WINDIR%\csrss.exe"



I valori delle seguenti chiavi di registro vengono rimossi:

–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\
   PendingFileRenameOperations
–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\BootExecute

 Email Contiene un motore SMTP integrato per inviare le email. Verr stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente falso.


A:
– Indirizzi email trovati in specifici file sul sistema.
 Indirizzi email raccolti da WAB (Windows Address Book)


Oggetto:
Uno dei seguenti:
   • ????????, ??? ???? ????
   • ?????
   • ??????, ?? ????
   • ??????, ?????? ???!!!
   • ??????! ?????? ?????? ?!
   • ??!
   • ?????
   • Re: ?????? ???!
   • Re: ??????? ???!
   • Re: ?? ????
   • Re: ????? ?? ??? ???????
   • Re: ??? ???????????
   • Re: ??? ???????????



Corpo dell'email:
–  In alcuni casi pu essere vuoto.


Il corpo dellemail come uno dei seguenti:
   • ??????! ? ??????? ??? ??
   • ??????? ? ????????? ??
   • ????? ??? ?????????
   • ????????!!! ??? ????????


File allegato:
Il nome del file allegato uno dei seguenti:
   • Message.zip
   • File.zip
   • Document.zip
   • README.zip
   • Passwords.zip
   • Readme.zip
   • Important.zip
   • New.zip
   • COOL.zip
   • Archive.zip
   • Fotos.zip
   • private.zip
   • confidential.zip
   • secret.zip
   • images.zip
   • your_documents.zip
   • backup.zip

L'allegato un archivio che contiene una copia del malware stesso.

 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • .adb; .asp; .cfg; .cgi; .mra; .dbx; .dhtm; .eml; .htm; .html; .jsp;
      .mbx; .mdx; .mht; .mmf; .msg; .nch; .ods; .oft; .php; .pl; .sht;
      .shtm; .stm; .tbb; .txt; .uin; .wab; .wsh; .xls; .xml; .dhtml


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • @microsoft; rating@; f-secur; news; update; .qmail; .gif; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      0000; Mailer-Daemon@; @subscribe; kasp; admin; icrosoft; support;
      ntivi; unix; bsd; linux; listserv; certific; torvalds@; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; spm111@;
      .00; abuse; panda; cafee; spam; pgp; @avp.; noreply; local; root@;
      postmaster@

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %WINDIR%\csrss.exe

    Tutti i seguenti processi:
   • services.exe
   • svchost.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Irina Boldea su martedì 12 settembre 2006
Descrizione aggiornata da Irina Boldea su martedì 12 settembre 2006

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.