Descrizione completa

Nome del virus:	TR/Drop.Stration.677
Scoperto:	26/10/2006
Tipo:	Trojan
Sottotipo:	Dropper
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	109.100 Byte
Somma di controllo MD5:	41b787a3275255e4e17360ba59cdc763
Versione VDF:	6.36.01.60
Versione IVDF:	6.36.01.63 - martedì 21 novembre 2006

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Mcafee: W32/Stration@MM
   • Kaspersky: Email-Worm.Win32.Warezov.dq
   • Sophos: W32/Stratio-BW
   • Eset: Win32/Stration.KQ

Precedentemente individuato come:
   • TR/Hijack.Explor.677

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica file “maligni”
   • Modifica del registro

File Vengono creati i seguenti file:

– %SYSDIR%\audmgr32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: WORM/Warezov.DQ

– %SYSDIR%\audconf.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: WORM/Warezov.DQ.2

– %SYSDIR%\audperf.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: WORM/Warezov.DQ.10

– %SYSDIR%\audprf32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: WORM/Warezov.DQ.3

– %SYSDIR%\audstat.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: WORM/Warezov.DQ.6

– %SYSDIR%\confaud.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: WORM/Warezov.DQ.1

Registro Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   audmgr]
   • "Asynchronous"=dword:00000000
   • "DllName"="audmgr32.dll"
   • "Impersonate"=dword:00000000
   • "Startup"="WlxStartup"
   • "Shutdown"="WlxShutdown"

Viene cambiata la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Valore precedente:
   • "AppInit_DLLs"=""
   Nuovo valore:
   • "AppInit_DLLs"=" confaud.dll audstat.dll"

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• MEW

Descrizione inserita da Monica Ghitun su giovedì 26 ottobre 2006
Descrizione aggiornata da Adriana Popa su martedì 21 novembre 2006

Indietro . . . .