Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/Warezov.A.3
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:中等程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:90.566 字节
MD5 校检和:5fdc2edefcae9b0Beb98c743d7951291
VDF 版本:7.11.53.216 - donderdag 13 december 2012
IVDF 版本:7.11.53.216 - donderdag 13 december 2012

 况概描述 传播方法:
   • 电子邮件


别名:
   •  Symantec: W32.Stration.C@mm
   •  Mcafee: W32/Stration@MM
   •  Kaspersky: Email-Worm.Win32.Warezov.h
   •  TrendMicro: WORM_STRATION.BD
   •  VirusBuster: Trojan.Opnis.AI
   •  Eset: Win32/Stration.L
   •  Bitdefender: Trojan.Strationee.K


平台/操作系统:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 下载文件
   • 植入恶意文件
   • 使用自置的电子邮件引擎
   • 注册表修改


执行完毕之后会显示以下信息:


 文件 它将本身复制到以下位置:
   • %WINDIR%\rsmb.exe



创建以下文件:

– 包含搜集的电子邮件地址的文件:
   • %WINDIR%\rsmb.wax

– %WINDIR%\rsmb.gfx
%恶意软件执行目录%\%两位数的随机字符串%.tmp
– %WINDIR%\rsmb.dll 用于隐藏进程。 检测为: Worm/Warezov.C




它会尝试下载文件:

– 该位置如下所示:
   • gadesunheranwui.com/chr/zjjk/**********
撰写本文时,此文件并未联机作深入调查。

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "rsmb"="%WINDIR%\rsmb.exe s"

 电子邮件 它包含集成的 SMTP 引擎,用于发送电子邮件。 将与目标服务器建立直接连接。 下面说明了它的特征:


发件人:
发件地址是仿冒的。


收件人:
– 在系统上的特定文件中找到的电子邮件地址。
– 从 WAB (Windows 通讯簿) 搜集到的电子邮件地址


主题:
以下某项内容:
   • Error
   • picture
   • Status
   • Good day
   • Mail Delivery System
   • Mail Transaction Failed



正文:
电子邮件的正文如以下某行所示:
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • Mail transaction failed. Partial message is available.


附件:
附件的文件名包含以下内容:

–  其开头是以下某项内容:
   • test
   • file
   • doc
   • document
   • message

    后跟以下某个假扩展名:
   • dat
   • log
   • msg
   • txt

    使用以下其中项文件扩展名 :
   • exe
   • cmd
   • pif

该附件是恶意软件本身的副本。



电子邮件如下所示:


 邮件 搜索地址:
它会在以下文件中搜索电子邮件地址:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

 文件详细信息 编程语言:
该恶意软件程序是用 MS Visual C++ 编写的。


运行时压缩程序:
为了提高检测难度以及减小文件,它已使用以下运行时压缩程序进行压缩:
   • MEW

Beschrijving ingevoegd door Irina Boldea op woensdag 18 oktober 2006
Beschrijving bijgewerkt door Irina Boldea op donderdag 19 oktober 2006

Terug . . . .
https:// Dit venster is voor uw veiligheid gecodeerd.