TR/Dldr.Strationee.C - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Dldr.Strationee.C
Scoperto:	27/08/2006
Tipo:	Worm
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	86.071 Byte
Somma di controllo MD5:	c36a8a8bd64a0C80d227781a864e6ed5
Versione VDF:	6.35.01.145
Versione IVDF:	6.35.01.148

Generale Metodo di propagazione:
   • Email

Alias:
   • Symantec: W32.Stration.A@mm
   • Mcafee: W32/Stration@MM
   • TrendMicro: WORM_STRATION.F
   • Sophos: W32/Stration-G
   • Eset: Win32/Stration.E
   • Bitdefender: Trojan.Downloader.Strationee.C

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Scarica un file “maligno”
   • Clona un file “maligno”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro

Giusto dopo l'esecuzione viene visualizzata la seguente informazione:

File Si copia alla seguente posizione:
• %WINDIR%\svchost32.exe

Prova a scaricare un file:

– La posizione è la seguente:
• gadesunheranwui.com/chr/jjjk/**********
Viene salvato in locale sotto: %TEMPDIR%\ Al momento dell'analisi questo file non era più disponibile.

Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:

Da:
L'indirizzo del mittente è falso.

A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)

Oggetto:
Uno dei seguenti:
   • Error
   • picture
   • Status
   • Good day
   • Mail Delivery System
   • Mail Transaction Failed

Corpo dell'email:
Il corpo dell’email è come uno dei seguenti:
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • Mail transaction failed. Partial message is available.

File allegato:
Il nome del file allegato viene estrapolato dai seguenti:

– Inizia con uno dei seguenti:
   • test
   • file
   • doc
   • document
   • message

    Seguito da una delle seguenti estensioni fasulle:
   • dat
   • log
   • msg
   • txt

    L'estensione del file è una delle seguenti:
   • exe
   • cmd
   • pif

L'allegato è una copia del malware stesso.

L’email si presenta come di seguito:

Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Irina Boldea il Mon, 23 Oct 2006 14:08 (GMT+1)
Descrizione aggiornata da Irina Boldea il Mon, 06 Nov 2006 11:55 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro