Nome del virus:Worm/Warezov.AM.6
Scoperto:29/09/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:204.851 Byte
Somma di controllo MD5:632810eabc99e2b9cd6fe57f9da8739e
Versione VDF:6.36.00.49
Versione IVDF:6.36.00.60 - martedì 26 settembre 2006

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Mcafee: W32/Stration@MM
   •  Kaspersky: Email-Worm.Win32.Warezov.am
   •  Sophos: W32/Stration-AD
   •  Eset: Win32/Stration.CX


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file
   • Duplica file “maligni”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sottrae informazioni

 File Vengono creati i seguenti file:

%SYSDIR%\actxippr.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: WORM/Warezov.AM.5

%SYSDIR%\slbcslay.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: WORM/Warezov.AM.1

%SYSDIR%\acac.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: WORM/Warezov.AM.4

%SYSDIR%\mtxlcomm.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: WORM/Warezov.AM.2

%SYSDIR%\lsaswdmi.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: WORM/Warezov.AM.3




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://www5.cedesunjerinkas.com/chr/wtb/**********
Inoltre questo file viene eseguito dopo essere stato completamente scaricato.

– La posizione è la seguente:
   • http://www.traferreg.com/chr/zzzx/e/**********
Al momento dell'analisi questo file non era più disponibile.

– La posizione è la seguente:
   • http://www.traferreg.com/chr/zzzx/e/**********


– La posizione è la seguente:
   • http://www.traferreg.com/chr/zzzx/**********
Al momento dell'analisi questo file non era più disponibile.

 Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   acac]
   • "Image"="%directory di esecuzione del malware%\%file eseguiti%"
   • "Asynchronous"=dword:00000000
   • "Impersonate"=dword:00000000
   • "Shutdown"="WlxShutdownEvent"
   • "Startup"="WlxStartupEvent"
   • "DllName"="%SYSDIR%\acac.dll"

– [HKLM\Software\Microsoft\scrrnpwm]


Viene cambiata la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Nuovo valore:
   • "AppInit_DLLs"=" actxippr.dll lsaswdmi.dll"

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi generati


Oggetto:
Uno dei seguenti:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail server report.
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corpo dell'email:
Il corpo dell’email è come uno dei seguenti:

   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
     addresses
     Please install updates for worm elimination and your computer restoring.
     
     Best regards,
     Customers support service

   • Mail transaction failed. Partial message is available.

   • The message cannot be represented in 7-bit ASCII encoding
     and has been sent as a binary attachment


File allegato:
Il nome del file allegato viene estrapolato dai seguenti:

–  Stringa casuale
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text
   • Update-KB%parole casuali%-x86

    Seguito da una delle seguenti estensioni fasulle:
   • dat
   • elm
   • log
   • msg
   • txt
   • zip
   • exe

    L'estensione del file è una delle seguenti:
   • cmd
   • scr
   • exe
   • pif
   • bat

L'allegato è una copia del malware stesso.



L'email può presentarsi come una delle seguenti:



 Backdoor Contatta il server:
Il seguente:
   • http://www3.cedesunjerinkas.com/cgi-bin/**********

Questo è fatto tramite il metodo HTTP POST utilizzando uno script PHP.


Invia informazioni riguardanti:
    • Stato corrente del malware
    • Informazioni sul sistema operativo Windows

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\mtxlcomm.dll

    Tutti i seguenti processi:
   • iexplore.exe
   • %processi con finestre visibili%


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • MEW

Descrizione inserita da Monica Ghitun su venerdì 29 settembre 2006
Descrizione aggiornata da Andrei Ivanes su martedì 24 ottobre 2006

Indietro . . . .