Nome del virus:Worm/Warezov.I.1
Scoperto:08/09/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Basso
File statico:Si
Dimensione del file:86.889 Byte
Somma di controllo MD5:8420a6819eeb4092039eb4cf88764b3e
Versione VDF:6.35.01.196
Versione IVDF:6.35.01.200 - venerdì 8 settembre 2006

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Mcafee: W32/Stration@MM
   •  TrendMicro: WORM_STRATION.AD
   •  Sophos: W32/Strati-Gen
   •  VirusBuster: trojan Trojan.Opnis.AC
   •  Bitdefender: BehavesLike:Trojan.Downloader


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Visualizza il contenuto del file immagine creato:


 File Si copia alla seguente posizione:
   • %WINDIR%\svchost32.exe



Viene creato il seguente file:

%directory di esecuzione del malware%\%stringa di caratteri casuale%.tmp



Prova a scaricare un file:

– La posizione è la seguente:
   • http://gadesunheranwui.com/chr/jjjk/**********
Viene salvato in locale sotto: %TEMPDIR%\~%stringa casuale di due caratteri%.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi questo file non era più disponibile.

 Registro Viene aggiunta la seguente chiave di registro:

– [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%WINDIR%\svchost32.exe"

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.


A:
– Indirizzi email trovati in specifici file sul sistema.


Oggetto:
Uno dei seguenti:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corpo dell'email:
–  In alcuni casi può essere vuoto.
–  Il corpo dell'email contiene caratteri casuali.


Il corpo dell’email è come uno dei seguenti:
   • Mail transaction failed. Partial messageis available.
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment.


File allegato:

–  Stringa casuale
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Seguito da una delle seguenti estensioni fasulle:
   • dat
   • elm
   • log
   • msg
   • txt

    L'estensione del file è una delle seguenti:
   • scr
   • exe
   • bat
   • pif
   • cmd

L'allegato è una copia del malware stesso.



L'email può presentarsi come una delle seguenti:



 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • MEW

Descrizione inserita da Gabriel Mustata su lunedì 16 ottobre 2006
Descrizione aggiornata da Andrei Gherman su martedì 21 novembre 2006

Indietro . . . .