Nume:Worm/Scano.U
Descoperit pe data de:22/06/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:18.084 Bytes
MD5:a05bcd12683a646af7b4ff59ce555f7a
Versiune VDF:6.35.00.59
Versiune IVDF:6.35.00.67 - sabato 24 giugno 2006

 General Metoda de raspandire:
   • Email


Alias:
   •  Mcafee: W32/Areses.h
   •  TrendMicro: WORM_ARESES.R
   •  Sophos: W32/Areses-F
   •  VirusBuster: I-Worm.Scano.T
   •  Eset: Win32/Scano.U
   •  Bitdefender: Win32.Scano.AM@mm


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Utilizeaza propriul motor de email
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\csrss.exe



Se copiaza intr-o arhiva in urmatoarea locatie:
   • %TEMPDIR%\Message.zip




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://207.46.250.119/g/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresa este urmatoarea:
   • http://www.microsoft.com/g/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresa este urmatoarea:
   • http://84.22.161.192/s/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.



Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • %SYSDIR%\services.exe
cu urmatorii parametri: %WINDIR%\csrss.exe
Este folosit pentru a ascunde procesul de Task Manager.

– Numele fisierului:
   • %SYSDIR%\svchost.exe
cu urmatorii parametri: %WINDIR%\csrss.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe
   • "Debugger"="%WINDIR%\csrss.exe"



Valorile urmatoarelor chei sunt sterse din registrii sistemului:

–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\
   PendingFileRenameOperations
–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\BootExecute

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)


Subiect:
Unul din urmatoarele:
   • Приветик, как твои дел?
   • ЙЫЛЙ?
   • Привет, ты где?
   • Привет, напиши мне!!!
   • Привет! Срочно напиши м!
   • не!
   • дешь?
   • Re: напиши мне!
   • Re: Позвони мне!
   • Re: Ты где?
   • Re: Когда ты мне ответиш
   • Re: Как настроение?
   • Re: Где пропадаешь?



Corpul email-ului:
–  Uneori corpul email-ului este gol.

 
Corpul email-ului este unul din textele:
   • Привет! Я сегодня жду те
   • Сегодня в интернете бу
   • Когда мне напишишь?
   • Приветик!!! Как настроен


Atasament:
Numele fisierului atasat este unul din urmatoarele:
   • Message.zip
   • File.zip
   • Document.zip
   • README.zip
   • Passwords.zip
   • Readme.zip
   • Important.zip
   • New.zip
   • COOL.zip
   • Archive.zip
   • Fotos.zip
   • private.zip
   • confidential.zip
   • secret.zip
   • images.zip
   • your_documents.zip
   • backup.zip

Atasamentul este o arhiva ce contine chiar o copie malware.

 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • .adb; .asp; .cfg; .cgi; .mra; .dbx; .dhtm; .eml; .htm; .html; .jsp;
      .mbx; .mdx; .mht; .mmf; .msg; .nch; .ods; .oft; .php; .pl; .sht;
      .shtm; .stm; .tbb; .txt; .uin; .wab; .wsh; .xls; .xml; .dhtml


Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • @microsoft; rating@; f-secur; news; update; .qmail; .gif; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      0000; Mailer-Daemon@; @subscribe; kasp; admin; icrosoft; support;
      ntivi; unix; bsd; linux; listserv; certific; torvalds@; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; spm111@;
      .00; abuse; panda; cafee; spam; pgp; @avp.; noreply; local; root@;
      postmaster@

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Irina Boldea su mercoledì 1 novembre 2006
Descrizione aggiornata da Irina Boldea su giovedì 2 novembre 2006

Indietro . . . .