PCの修理が必要ですか?
専門家に頼む
ウイルスTR/Dldr.Stration.F
発見日:20/11/2006
タイプトロイの木馬
サブタイプDownloader
感染報告有りはい
感染報告
感染の可能性
ダメージ・ポテンシャル低~中
スタティック・ファイルいいえ
ファイル・サイズ~32.000 バイト
VDFファージョン:6.36.01.54
IVDFファージョン:6.36.01.57 - 2006年11月20日月曜日

 一般情報 感染方法
   • それ自体に伝染能力はない


別名
   •  Kaspersky: Email-Worm.Win32.Warezov.ev
   •  F-Secure: Email-Worm.Win32.Warezov.ev


プラットフォーム/OS:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用
   • 悪意ファイルをダウンロードします。


起動後以下の情報が表示されます:



実行後、それは以下のウインドウを表示するアプリケーションを開始します:


 ファイル それ自体を以下の場所にコピーします。
   • %SYSDIR%\%ランダムな文字列%.exe



以下のファイルが作成されます:

– 悪意のないファイル:
   • %実行されたマルウェアのディレクトリ%\%ランダムな文字列%.tmp




ファイルをダウンロードしようとします:

– 場所は以下の通りです:
   • http://www6.rasetikuinyunhderunsa.com/859/**********
ハードディスクの以下のパスにセーヴされます: %TEMPDIR%\~%番号% .tmp ダウンロードが終了した後、起動されます。 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: Worm/Stration.F

 Eメール それ自身に伝染する能力はありませんが、メールを通して感染します。特徴は以下の通りです:


送信者
送信者のアドレスは改変されています(spoof)。


メール・デザイン



送信者: sec@%受信者のドメイン%
件名: Mail server report.
本文:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
添付ファイル
   • Update-KB%番号% -x86.exe
   • Update-KB%番号% -x86.zip



送信者: secur@%受信者のドメイン%
件名: Mail server report.
本文:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
添付ファイル
   • Update-KB%番号% -x86.exe
   • Update-KB%番号% -x86.zip



送信者: serv@%受信者のドメイン%
件名: Mail server report.
本文:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
添付ファイル
   • Update-KB%番号% -x86.exe
   • Update-KB%番号% -x86.zip


件名
以下のもの:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



本文
メールの本文は以下の通りです:
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
   • The message contains Unicode characters and has been sent as a binary attachment


添付ファイル
添付ファイルの名前は以下のものから構成されています:

–  以下のうちのどれかで始まります:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    その後に以下の偽の拡張子のうちのどれかが続くことがあります:
   • dat
   • elm
   • log
   • msg
   • txt

    ファイル拡張子は以下のうちのどれかです:
   • bat
   • cmd
   • exe
   • pif
   • scr
   • zip



メールは以下のうちのどれかであることもあります:




 ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Andrei Gherman の 2006年11月20日月曜日
説明の更新者 Andrei Gherman の 2006年11月20日月曜日

戻る . . . .
https:// このウィンドウは暗号化されています。