Nome del virus:Worm/Stration.X
Scoperto:01/09/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:82.411 Byte
Somma di controllo MD5:e3cc9c2dd92feb6bad657d887b038156
Versione VDF:6.35.01.173
Versione IVDF:6.35.01.177 - lunedì 4 settembre 2006

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Mcafee: W32/Stration@MM
   •  TrendMicro: WORM_STRATION.CD
   •  Sophos: W32/Stration-J
   •  VirusBuster: iworm Trojan.Opnis.AL
   •  Bitdefender: Win32.Worm.Stration.C


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file “maligno”
   • Clona un file “maligno”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro


Giusto dopo l'esecuzione, avvia un'applicazione Windows che visualizzerà la seguente finestra:


 File Si copia alla seguente posizione:
   • %WINDIR%\rsmb32.exe



Vengono creati i seguenti file:

– File “non maligni”:
   • %WINDIR%\rsmb32.gfx
   • %WINDIR%\rsmb32.z
   • %directory di esecuzione del malware%\%numero esadecimale%.tmp

– Un file che contiene gli indirizzi email recuperati:
   • %WINDIR%\rsmb32.wax

%WINDIR%\rsmb32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: WORM/Warezov.L


– La posizione è la seguente:
   • http://gadesunheranwui.com/chr/zjjk/**********
Viene salvato in locale sotto: %TEMPDIR%\~%numero esadecimale%.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi questo file non era più disponibile.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "rsmb32"="%WINDIR%\rsmb32.exe s"

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.


Oggetto:
Uno dei seguenti:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corpo dell'email:


Il corpo dell’email è come uno dei seguenti:
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • Mail transaction failed. Partial message is available.


File allegato:
I nomi dei file allegati vengono estrapolati dai seguenti:

–  Inizia con uno dei seguenti:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

Seguito da uno dei seguenti:
   • dat
   • elm
   • log
   • msg
   • txt

    Seguito da uno dei seguenti:
   • bat
   • cmd
   • exe
   • pif
   • scr



Qui ci sono alcuni esempi di come il nome del file allegato potrebbe presentarsi:
   • document.log.cmd
   • test.log.scr

L'allegato è una copia del malware stesso.



L’email si presenta come di seguito:


 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • asp; cfg; cgi; dbx; eml; htm; jsp; mbx; mdx; mht; mmf; msg; nch; ods;
      oft; php; sht; stm; tbb; txt; uin


Generazione dell'indirizzo per il campo FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • adam; anna; alice; betty; bob; brenda; brent; brian; carol; claudia;
      craig; cyber; dan; dave; david; debby; den; Donna; frank; george;
      gerhard; helen; james; jane; jayson; jerry; jim; joe; john; karen;
      linda; lisa; mancy; maria; ruth; sandra; sharon; Susan

Potrebbe combinare la prima stringa con una delle seguenti:
   • adams; allen; anderson; baker; carter; clark; garcia; gonzalez; green;
      hall; harris; hernandez; hill; jackson; jeremy; joe; kenneth; king;
      lee; lewis; lopez; martinez; miller; molly; moore; nelson; robinson;
      robyn; rodriguez; scott; shaan; taylor; thomas; thompson; walker;
      white; wilson; wright; young


Il dominio è uno dei seguenti:
   • care2.com; email.myway.com; fastmail.fm; gmail.com; goowy.com;
      hotmail.com; inbox.com; mail.aim.com; mail.com; mail.lycos.com;
      yahoo.com

Qui si possono trovare degli esempi di indirizzi generati:
   • frank &ltfrank_2000@care2.com>
   • jerry lopez &ltjerry.lopez@goowy.com>
   • jerry robyn &ltjerryjbwax@mail.lycos.com>

 Backdoor Contatta il server:
Il seguente:
   • http://gadesunheranwui.com/cgi-bin/**********

Come risultato può inviare alcune informazioni. Questo è fatto tramite il metodo HTTP POST utilizzando uno script CGI.


Invia informazioni riguardanti:
    • Stato corrente del malware

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %WINDIR%\rsmb32.dll

    Tutti i seguenti processi:
   • %tutti i processi iniziati dopo l'attivazione del malware nella memoria%
   • Explorer.EXE


 Tecnologia Rootkit È una tecnologia specifica del malware. Il malware si nasconde dalle utilità di sistema, dalle applicazioni di sicurezza e, alla fine, dall'utente.


Nasconde il seguente:
– Il proprio processo

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Ionut Slaveanu su giovedì 21 settembre 2006
Descrizione aggiornata da Ionut Slaveanu su giovedì 21 settembre 2006

Indietro . . . .