Worm/Warezov.I.1 - Worm

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	Worm/Warezov.I.1
Scoperto:	08/09/2006
Tipo:	Worm
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio
Potenziale di danni:	Basso
File statico:	Si
Dimensione del file:	86.889 Byte
Somma di controllo MD5:	8420a6819eeb4092039eb4cf88764b3e
Versione VDF:	6.35.01.196
Versione IVDF:	6.35.01.200

Generale Metodo di propagazione:
   • Email

Alias:
   • Mcafee: W32/Stration@MM
   • TrendMicro: WORM_STRATION.AD
   • Sophos: W32/Strati-Gen
   • VirusBuster: trojan Trojan.Opnis.AC
   • Bitdefender: BehavesLike:Trojan.Downloader

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Visualizza il contenuto del file immagine creato:

File Si copia alla seguente posizione:
• %WINDIR%\svchost32.exe

Viene creato il seguente file:

– %directory di esecuzione del malware%\%stringa di caratteri casuale%.tmp

Prova a scaricare un file:

– La posizione è la seguente:
• http://gadesunheranwui.com/chr/jjjk/**********
Viene salvato in locale sotto: %TEMPDIR%\~%stringa casuale di due caratteri%.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi questo file non era più disponibile.

Registro Viene aggiunta la seguente chiave di registro:

– [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
• "PendingFileRenameOperations"="\??\%WINDIR%\svchost32.exe"

Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:

Da:
L'indirizzo del mittente è falso.

A:
– Indirizzi email trovati in specifici file sul sistema.

Oggetto:
Uno dei seguenti:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test

Corpo dell'email:
– In alcuni casi può essere vuoto.
– Il corpo dell'email contiene caratteri casuali.

Il corpo dell’email è come uno dei seguenti:
   • Mail transaction failed. Partial messageis available.
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment.

File allegato:

– Stringa casuale
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Seguito da una delle seguenti estensioni fasulle:
   • dat
   • elm
   • log
   • msg
   • txt

    L'estensione del file è una delle seguenti:
   • scr
   • exe
   • bat
   • pif
   • cmd

L'allegato è una copia del malware stesso.

L'email può presentarsi come una delle seguenti:

Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• MEW

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Gabriel Mustata il Mon, 16 Oct 2006 15:24 (GMT+1)
Descrizione aggiornata da Andrei Gherman il Tue, 21 Nov 2006 17:34 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro