VírusWorm/Opnis.T.1
Data em que surgiu:24/08/2006
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:85.738 Bytes
MD5 checksum:7a44b326e90D03251af24e33826027ba
Versão VDF:6.35.01.132
Versão IVDF:6.35.01.135 - quinta-feira, 24 de agosto de 2006

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Symantec: W32.Stration.B@mm
   •  Mcafee: W32/Stration@MM
   •  Sophos: W32/Dilworm-A
   •  VirusBuster: Trojan.Opnis.Z
   •  Bitdefender: Trojan.Downloader.Strationee.B


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Utiliza o seu próprio motor de E-mail


Depois da execução executa um aplicação que exibe a janela seguinte:


 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\svchost32.exe



São criados os seguintes ficheiros:

– Ficheiro não malicioso:
   • %WINDIR%\svchost32.xml

%directório de execução do malware%\%número hexadecimal%.tmp



Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://gadesunheranwui.com/chr/jjjk/**********
Encontra-se no disco rígido: %TEMPDIR%\~%número hexadecimal%.tmp Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Strationee.A

 Registry (Registo do Windows) O seguinte valor do registo é alterado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\
   S-1-5-18\Products\9040820900063D11C8EF00054038389C\Usage
   Valor recente:
   • "OUTLOOKFiles"=dword:%número hexadecimal%

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.


Assunto:
Um dos seguintes:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corpo:


O corpo do email tem uma das seguintes linhas:
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • Mail transaction failed. Partial message is available.


Atalho:
Os nomes dos ficheiros de atalhos são construídos a partir dos seguintes:

–  Começa por um dos seguintes:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

Continuado por um dos seguintes:
   • dat
   • elm
   • log
   • msg
   • txt

    Continuado por um dos seguintes:
   • bat
   • cmd
   • exe
   • pif
   • scr



Exemplos de como o nome do ficheiro de atalho pode parecer:
   • body.dat.cmd
   • data.txt.pif

O ficheiro de atalho é uma cópia do malware.



O email pode ser parecido com o seguinte:


 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb


Endereços gerados para o campo DE:
Utiliza o seguinte texto para gerar endereços:
   • Barbara; Betty; Bill; Carol; Charles; Chris; Daniel; David; Don;
      Donna; Dorothy; Edward; Elizabeth; George; Helen; James; Jennifer;
      John; Joseph; Karen; Ken; Linda; Lisa; Margaret; Maria; Mark; Mary;
      Michael; Nancy; Patricia; Paul; Richard; Rob; Ron; Ruth; Sandra;
      Sharon; Steven; Susan; Tom

Pode combinar a primeira cadeia de caracteres com um dos seguintes:
   • Adams; Allen; Anderson; Baker; Brown; Carter; Clark; Davis; Garcia;
      Gonzalez; Green; Hall; Harris; Hernandez; Hill; Jackson; Jones;
      Johnson; King; Lee; Lewis; Lopez; Martin; Martinez; Miller; Moore;
      Nelson; Robinson; Rodriguez; Scott; Smith; Taylor; Thomas; Thompson;
      Walker; White; Williams; Wilson; Wright; Young


Tem um dos seguintes domínios:
   • care2.com; email.myway.com; fastmail.fm; gmail.com; goowy.com;
      hotmail.com; inbox.com; mail.aim.com; mail.com; mail.lycos.com;
      yahoo.com

Exemplos de endereços gerados
   • David Lee &ltDavid_1972@email.myway.com>
   • George Lopez &ltGeorge.Lopez@mail.lycos.com>
   • Mark Robinson &ltRobinson_vplxh@goowy.com>

 Backdoor Contacta o servidor:
Seguinte:
   • http://gadesunheranwui.com/cgi-bin/**********

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP POST através de scripts CGI.


Envia informação sobre:
    • Situação actual de malware

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Ionut Slaveanu em segunda-feira, 28 de agosto de 2006
Descrição atualizada por Ionut Slaveanu em segunda-feira, 11 de setembro de 2006

Voltar . . . .