Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Dldr.Stration.F
Scoperto:20/11/2006
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):Si
Numero delle infezioni segnalate:Alto
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:No
Dimensione del file:~32.000 Byte
Versione VDF:6.36.01.54
Versione IVDF:6.36.01.57 - lunedì 20 novembre 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Email-Worm.Win32.Warezov.ev
   •  F-Secure: Email-Worm.Win32.Warezov.ev


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file maligno


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:



Giusto dopo l'esecuzione, avvia un'applicazione Windows che visualizzer la seguente finestra:


 File Si copia alla seguente posizione:
   • %SYSDIR%\%stringa di caratteri casuale%.exe



Viene creato il seguente file:

File non maligno:
   • %directory di esecuzione del malware%\%stringa di caratteri
      casuale%
.tmp




Prova a scaricare un file:

La posizione la seguente:
   • http://www6.rasetikuinyunhderunsa.com/859/**********
Viene salvato in locale sotto: %TEMPDIR%\~%numero%.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Stration.F

 Email Non possiede una propria procedura di propagazione, per si trasmette tramite email. Le caratteristiche sono descritte qui di seguito:


Da:
L'indirizzo del mittente falso.


Design dell'email:



Da: sec@%dominio del destinatario%
Oggetto: Mail server report.
Corpo della mail:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Allegati:
   • Update-KB%numero%-x86.exe
   • Update-KB%numero%-x86.zip



Da: secur@%dominio del destinatario%
Oggetto: Mail server report.
Corpo della mail:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Allegati:
   • Update-KB%numero%-x86.exe
   • Update-KB%numero%-x86.zip



Da: serv@%dominio del destinatario%
Oggetto: Mail server report.
Corpo della mail:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Allegati:
   • Update-KB%numero%-x86.exe
   • Update-KB%numero%-x86.zip


Oggetto:
Uno dei seguenti:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corpo dell'email:
Il corpo dellemail come uno dei seguenti:
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
   • The message contains Unicode characters and has been sent as a binary attachment


File allegato:
Il nome del file allegato viene estrapolato dai seguenti:

–  Inizia con uno dei seguenti:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    A volte seguito da una delle seguenti estensioni fasulle:
   • dat
   • elm
   • log
   • msg
   • txt

    L'estensione del file una delle seguenti:
   • bat
   • cmd
   • exe
   • pif
   • scr
   • zip



L'email pu presentarsi come una delle seguenti:




 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Gherman su lunedì 20 novembre 2006
Descrizione aggiornata da Andrei Gherman su lunedì 20 novembre 2006

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.