Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/Warezov.Q.1
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:中等程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:151.251 字节
MD5 校检和:abbb2b9923428eb2b396ac70f1b34ad4
VDF 版本:7.11.53.216 - donderdag 13 december 2012
IVDF 版本:7.11.53.216 - donderdag 13 december 2012

 况概描述 传播方法:
   • 电子邮件


别名:
   •  Symantec: W32.Stration.A@mm
   •  Mcafee: W32/Stration@MM
   •  TrendMicro: WORM_STRATION.AZ
   •  Sophos: W32/Stration-S
   •  VirusBuster: I-Worm.Stration.C
   •  Eset: Win32/Stration.AF
   •  Bitdefender: Win32.Warezov.Q@mm


平台/操作系统:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 阻止对安全网站的访问
   • 下载恶意文件
   • 植入恶意文件
   • 使用自置的电子邮件引擎
   • 窃取信息


执行完毕之后会显示以下信息:


 文件 它将本身复制到以下位置:
   • %WINDIR%\tsrv.exe



创建以下文件:

– 包含搜集的电子邮件地址的文件:
   • %WINDIR%\tsrv.wax

– %WINDIR%\tsrv.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Warezov.Q.1

– %SYSDIR%\hpzl449c14b7.exe 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Warezov.Q.1

– %SYSDIR%\msji449c14b7.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Stration

– %SYSDIR%\cmut449c14b7.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Warezov.Q




它会尝试下载文件:

– 该位置如下所示:
   • http://yuhadefunjinsa.com/chr/grw/**********
它会保存在硬盘驱动器以下的位置: %TEMPDIR%\~%数字%.tmp 成功下载后执行。 进一步的调查表明,此文件是恶意软件。

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • tsrv = %WINDIR%\tsrv.exe s



会更改以下注册表项:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   旧值:
   • AppInit_DLLs =
   新值:
   • AppInit_DLLs = msji449c14b7.dll

 电子邮件 它包含集成的 SMTP 引擎,用于发送电子邮件。 将与目标服务器建立直接连接。 下面说明了它的特征:


发件人:
机器生成的地址。 请不要认为向您发送此电子邮件是出于发件人的本意。 他可能并不知道计算机已被感染,甚至可能根本没有被感染。 此外,您可能还会收到一些退回的电子邮件,通知您已被感染。 情况也可能不是这样。


收件人:
– 在系统上的特定文件中找到的电子邮件地址。
– 从 WAB (Windows 通讯簿) 搜集到的电子邮件地址


电子邮件设计:
 


发件人: sec@%收件人邮址域名%
主题: Mail server report.
正文:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
附件:
   • Update-KB%数字%-x86.exe
 


发件人: secur@%收件人邮址域名%
主题: Mail server report.
正文:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
附件:
   • Update-KB%数字%-x86.exe
 


发件人: serv@%收件人邮址域名%
主题: Mail server report.
正文:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
附件:
   • Update-KB%数字%-x86.exe


主题:
以下某项内容:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



正文:
电子邮件的正文如以下某行所示:
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
   • The message contains Unicode characters and has been sent as a binary attachment


附件:
附件的文件名包含以下内容:

–  其开头是以下某项内容:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • tex

    后跟以下某个假扩展名:
   • dat
   • elm
   • log
   • msg
   • txt

    使用以下其中项文件扩展名 :
   • bat
   • cmd
   • exe
   • pif
   • scr

该附件是恶意软件本身的副本。



电子邮件可能如下所示:



 邮件 搜索地址:
它会在以下文件中搜索电子邮件地址:
   • %每个 *.htm 文件%

 主机 会按如下所述对主机文件进行修改:

– 这种情况下,不会修改已存在的项目。

– 阻挡以下域名的访问:
   • download.microsoft.com
   • go.microsoft.com
   • msdn.microsoft.com
   • office.microsoft.com
   • windowsupdate.microsoft.com
   • http://www.microsoft.com/downloads/Search.aspx?displaylang=en
   • avp.ru
   • www.avp.ru
   • http://avp.ru
   • http://www.avp.ru
   • kaspersky.ru
   • www.kaspersky.ru
   • http://kaspersky.ru
   • kaspersky.com
   • www.kaspersky.com
   • http://kaspersky.com
   • kaspersky-labs.com
   • www.kaspersky-labs.com
   • http://kaspersky-labs.com
   • avp.ru/download/
   • www.avp.ru/download/
   • http://www.avp.ru/download/
   • http://www.kaspersky.ru/updates/
   • http://www.kaspersky-labs.com/updates/
   • http://kaspersky.ru/updates/
   • http://kaspersky-labs.com/updates/
   • downloads1.kaspersky-labs.com
   • downloads2.kaspersky-labs.com
   • downloads3.kaspersky-labs.com
   • downloads4.kaspersky-labs.com
   • downloads5.kaspersky-labs.com
   • http://downloads1.kaspersky-labs.com
   • http://downloads2.kaspersky-labs.com
   • http://downloads3.kaspersky-labs.com
   • http://downloads4.kaspersky-labs.com
   • http://downloads5.kaspersky-labs.com
   • downloads1.kaspersky-labs.com/products/
   • downloads2.kaspersky-labs.com/products/
   • downloads3.kaspersky-labs.com/products/
   • downloads4.kaspersky-labs.com/products/
   • downloads5.kaspersky-labs.com/products/
   • http://downloads1.kaspersky-labs.com/products/
   • http://downloads2.kaspersky-labs.com/products/
   • http://downloads3.kaspersky-labs.com/products/
   • http://downloads4.kaspersky-labs.com/products/
   • http://downloads5.kaspersky-labs.com/products/
   • downloads1.kaspersky-labs.com/updates/
   • downloads2.kaspersky-labs.com/updates/
   • downloads3.kaspersky-labs.com/updates/
   • downloads4.kaspersky-labs.com/updates/
   • downloads5.kaspersky-labs.com/updates/
   • http://downloads1.kaspersky-labs.com/updates/
   • http://downloads2.kaspersky-labs.com/updates/
   • http://downloads3.kaspersky-labs.com/updates/
   • http://downloads4.kaspersky-labs.com/updates/
   • http://downloads5.kaspersky-labs.com/updates/
   • ftp://downloads1.kaspersky-labs.com
   • ftp://downloads2.kaspersky-labs.com
   • ftp://downloads3.kaspersky-labs.com
   • ftp://downloads4.kaspersky-labs.com
   • ftp://downloads5.kaspersky-labs.com
   • ftp://downloads1.kaspersky-labs.com/products/
   • ftp://downloads2.kaspersky-labs.com/products/
   • ftp://downloads3.kaspersky-labs.com/products/
   • ftp://downloads4.kaspersky-labs.com/products/
   • ftp://downloads5.kaspersky-labs.com/products/
   • ftp://downloads1.kaspersky-labs.com/updates/
   • ftp://downloads2.kaspersky-labs.com/updates/
   • ftp://downloads3.kaspersky-labs.com/updates/
   • ftp://downloads4.kaspersky-labs.com/updates/
   • ftp://downloads5.kaspersky-labs.com/updates/
   • http://updates.kaspersky-labs.com/updates/
   • http://updates1.kaspersky-labs.com/updates/
   • http://updates2.kaspersky-labs.com/updates/
   • http://updates3.kaspersky-labs.com/updates/
   • http://updates4.kaspersky-labs.com/updates/
   • ftp://updates.kaspersky-labs.com/updates/
   • ftp://updates1.kaspersky-labs.com/updates/
   • ftp://updates2.kaspersky-labs.com/updates/
   • ftp://updates3.kaspersky-labs.com/updates/
   • ftp://updates4.kaspersky-labs.com/updates/
   • viruslist.com
   • www.viruslist.com
   • http://viruslist.com
   • viruslist.ru
   • www.viruslist.ru
   • http://viruslist.ru
   • ftp://ftp.kasperskylab.ru/updates/
   • symantec.com
   • www.symantec.com
   • http://symantec.com
   • customer.symantec.com
   • http://customer.symantec.com
   • liveupdate.symantec.com
   • http://liveupdate.symantec.com
   • liveupdate.symantecliveupdate.com
   • http://liveupdate.symantecliveupdate.com
   • securityresponse.symantec.com
   • http://securityresponse.symantec.com
   • service1.symantec.com
   • http://service1.symantec.com
   • symantec.com/updates
   • http://symantec.com/updates
   • updates.symantec.com
   • http://updates.symantec.com
   • eset.com/
   • www.eset.com/
   • http://www.eset.com/
   • eset.com/products/index.php
   • www.eset.com/products/index.php
   • http://www.eset.com/products/index.php
   • eset.com/download/index.php
   • www.eset.com/download/index.php
   • http://www.eset.com/download/index.php
   • eset.com/joomla/
   • www.eset.com/joomla/
   • http://www.eset.com/joomla/
   • u3.eset.com/
   • http://u3.eset.com/
   • u4.eset.com/
   • http://u4.eset.com/
   • www.symantec.com/updates




修改后的hosts 文件将如下所示:


 后门程序 访问服务器:
以下内容:
   • http://yuhadefunjinsa.com/cgi-bin/**********

因此它可能会发送某些信息。 这是通过用 CGI 脚本执行 HTTP POST 方法来完成的。


发送有关以下内容的信息:
    • 搜集的电子邮件地址
    • 恶意软件当前状态

 文件详细信息 运行时压缩程序:
为了提高检测难度以及减小文件,它已使用运行时压缩程序进行压缩。

Beschrijving ingevoegd door Andrei Gherman op vrijdag 15 september 2006
Beschrijving bijgewerkt door Andrei Gherman op maandag 18 september 2006

Terug . . . .
https:// Dit venster is voor uw veiligheid gecodeerd.