Worm/Savage.B - Worm

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	Worm/Savage.B
Scoperto:	07/09/2005
Tipo:	Worm
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	51.200 Byte
Somma di controllo MD5:	2c7482ca657f3ef1bd4d5c88abe204e5
Versione VDF:	6.31.1.200

Generale Metodi di propagazione:
   • Email
   • Peer to Peer

Alias:
   • Mcafee: W32/Savage.gen@MM
   • Kaspersky: Email-Worm.Win32.Savage.b
   • TrendMicro: WORM_SAVAGE.A
   • F-Secure: W32/Savage.A@mm
   • VirusBuster: I-Worm.Savage.B
   • Bitdefender: Win32.Savage.B@mm

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Blocca l'accesso a siti web di sicurezza
   • Disattiva le applicazioni di sicurezza
   • Scarica un file
   • Utilizza un proprio motore SMTP per l'invio di email
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

Giusto dopo l'esecuzione, avvia un'applicazione Windows che visualizzerà la seguente finestra:

File Si copia alla seguente posizione:
   • %sysdir%\lsasrv.exe

Vengono creati i seguenti file:

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • %temp%\Me^sa~e4%

– %sysdir%\version.ini
– %sysdir%\iexplor.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware.
– %sysdir%\shlapiw.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

Prova a scaricare un file:

– La posizione è la seguente:
   • **********est.org.uk/imp/lost/wm/comms.txt
Viene salvato in locale sotto: %sysdir%\upd.ini

Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "lsass"="%directory di esecuzione del malware%\%file eseguiti%"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="explorer.exe %directory di esecuzione del malware%\%file eseguiti%"

I valori della seguente chiave di registro vengono rimossi:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "windows auto update"="penis32.exe"
   • "Microsoft Inet Xp.."="teekids.exe"
   • "windows auto update"="msblast.exe"
   • "System MScvb"="%WINDIR%\mscvb32.exe"
   • "sysinfo.exe"="sysinfo.exe"
   • "PandaAVEngine"="%WINDIR%\PandaAVEngine.exe"
   • "TaskMon" = "taskmon.exe"

Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\iexplore.exe]
   • "Debugger"="%directory di esecuzione del malware%\%file eseguiti%""

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SSavage]

Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:

Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.

A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)
– Indirizzi generati

Oggetto:
Uno dei seguenti:
   • Error
   • Status
   • Server Report
   • Mail Transaction Failed
   • Attention!!!
   • Mail Delivery System
   • hello
   • Do not reply to this email
   • Good day

Corpo dell'email:
– Contiene codice HTML.

Il corpo dell’email è come uno dei seguenti:

   • You think it's funny? You are stupid idiot!!! I'll send the attachment to your ISP and then I'll be watching how you will go to jail, punk!!!

   • Attention! New self-spreading virus!


     Be careful, a new self-spreading virus called "RTSW.Smash" spreading very fast via e-mail and P2P networks. It's about two million people infected and it will be more.
     To avoid your infection by this virus and to stop it we provide you with full information how to protect yourself against it and also including free remover. Your can find it in the attachment.


     p 2004 Networks Associates Technology, Inc. All Rights Reserved

   • New terms and conditions for credit card holders


     Here a new terms and conditions for credit card holders using a credit cards for making purchase in the Internet in the attachment. Please, read it carefully. If you are not agree with new terms and conditions do not use your credit card in the World Wide Web.

     Thank you,
     The World Bank Group
     " 2004 The World Bank Group, All Rights Reserved

   • Thank you for registering at WORLDXXXPASS.COM


     All your payment info, login and password you can find in the attachment file.

     It's a real good choise to go to WORLDXXXPASS.COM

   • Attention! Your IP was logged by The Internet Fraud Complaint Center


     Your IP was logged by The Internet Fraud Complaint Center. There was a fraud attempt logged by The Internet Fraud Complaint Center from your IP. This is a serious crime, so all records was sent to the FBI.
     All information you can find in the attachment. Your IP was flagged and if there will be anover attemption you will be busted.


      This message is brought to you by the Federal Bureau of Investigation and the National White Collar Crime Center

   • You have visited illegal websites.
I have a big list of the websites you surfed.

   • Mail transaction failed. Partial message is available.

   • The message contains Unicode characters and has been sent as a binary attachment.

   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

   • Do not visit these sites!!!

   • Your credit card was charged for $500 USD. For additional information see the attachment

   • ESMTP [Secure Mail System 334]: Secure message is attached.

   • Encrypted message is available.

   • Delivered message is attached.

   • Can you confirm it?

   • Binary message is available.

   • am shocked about your document!

   • Are you a spammer? (I found your email on a spammer website!?!)

   • Bad Gateway: The message has been attached.

File allegato:
Il nome del file allegato è:
   • tmp.zip

L'allegato è una copia del malware stesso.

Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • wab; adb; tbb; dbx; asp; edm; vbs; wml; jst; tpl; conf; vbp; csp; asm;
      asc; asa; dwt; lbi; rdf; rss; xst; xsd; dlt; xml; jsp; inc; ssi; stm;
      xht; htc; hta; cgi; php; sht; htm; html; txt

Generazione dell'indirizzo per i campi TO e FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
      matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
      brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
      james; michael; alex; john

Combina questo con i domini della seguente lista o con gli indirizzi trovati nei file sul sistema

Il dominio è uno dei seguenti:
   • trendmicro.com; nai.com; networkassociates.com; mcaffe.com;
      symantec.com; avp.com; compuserve.com; juno.com; earthlink.net;
      yahoo.co.uk; hotmail.com; yahoo.com; msn.com; aol.com

Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • accoun; certific; listserv; ntivi; support; admin; page; the.bat;
      gold-certs; feste; submit; not; help; service; privacy; somebody;
      soft; contact; rating; bugs; you; your; someone; anyone; nothing;
      nobody; noone; webmaster; postmaster; samples; info; root; be_loyal:;
      mozilla; utgers.ed; tanford.e; pgp; asketst; secur; isc.o; isi.e;
      ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido; linux;
      kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley;
      foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example; inpris;
      borlan; sopho; panda; icrosoft; syma; avp; abuse; www; spam; spm; .edu

Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:

– Cerca le seguenti directory:
   • %progdir%\eDonkey2000\incoming
   • %progdir%\LimeWire\Shared

   Recupera le cartelle condivise interrogando le seguenti chiavi di registro:
   • [HKCU\Software\Kazaa\Transfer\DlDir0]
   • [HKCU\SOFTWARE\Morpheus\Install_Dir]
   • [HKCU\SOFTWARE\iMesh\Client\DownloadDir]

   Cerca le seguenti condivisioni standard:
   • Kazaa
   • Morpheus
   • iMesh

   Se riuscito, i seguenti file vengono creati:
   • porno
   • NeroBROM6.3.1.25
   • avpprokey
   • Ad-awareref01R344
   • winxp_sp2patch
   • adultsitespasswds
   • dcom_patch
   • K-LiteCodecPack2.32a
   • activation_crack
   • icq2004-final
   • winamp5

   Questi file sono copie del malware stesso.

Host L'host del file viene modificato come spiegato:

– L'accesso ai seguenti domini è effettivamente bloccato:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      www.f-secure.com; f-secure.com; kaspersky.com; kaspersky-labs.com;
      www.avp.com; avp.com; www.kaspersky.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      www.my-etrust.com; my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; www.nai.com; nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      www.trendmicro.com; trendmicro.com; www.grisoft.com; grisoft.com;
      downloads1.kaspersky.com; downloads2.kaspersky.com;
      ftp.downloads1.kaspersky-labs.com; ftp.downloads2.kaspersky-labs.com;
      updates1.kaspersky-labs.com; updates3.kaspersky-labs.com;
      updates2.kaspersky-labs.com

L'host del file modificato sarà del tipo:

Processi terminati Lista dei processi che vengono terminati:
   • i11r54n4; irun4; d3dupdate; rate; ssate; winsys; winupd; SysMon;
      bbeagle; Penis32; teekids; MSBLAST; mscvb32; sysinfo; PandaAVEngine;
      taskmon; wincfg32; outpost; zonealarm; navapw32; navw32; zapro;
      msblast; netstat

I seguenti servizi vengono disattivati:
   • wscsvc
   • SharedAccess
   • Norton Program Scheduler
   • KAVMonitorService
   • OutpostFirewall

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Iulia Diaconescu il Thu, 08 Sep 2005 12:15 (GMT+1)
Descrizione aggiornata da Iulia Diaconescu il Mon, 19 Sep 2005 14:40 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro