VírusWorm/Stration.B.1
Data em que surgiu:24/08/2006
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:86.048 Bytes
MD5 checksum:f973b4c2739d8344d1eb2b7185f55ab0
Versão VDF:6.35.01.135
Versão IVDF:6.35.01.138 - sexta-feira, 25 de agosto de 2006

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Mcafee: W32/Stration@MM
   •  Kaspersky: Trojan-Downloader.Win32.Agent.atq
   •  F-Secure: Trojan-Downloader.Win32.Agent.atq
   •  Sophos: W32/Stration-E
   •  VirusBuster: Trojan.Opnis.AA
   •  Eset: Win32/Stration.C
   •  Bitdefender: Win32.HLLW.Stration.A


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Utiliza o seu próprio motor de E-mail


Depois da execução executa um aplicação que exibe a janela seguinte:


 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\svchost32.exe



São criados os seguintes ficheiros:

– Ficheiro não malicioso:
   • %WINDIR%\svchost32.xml

%directório de execução do malware%\%número hexadecimal%.tmp É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %uma série de caracteres aleatórios%




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://gadesunheranwui.com/chr/jjjk/**********
Encontra-se no disco rígido: %TEMPDIR%\~%número hexadecimal%.tmp Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware.

 Registry (Registo do Windows) O seguinte valor do registo é alterado:

– HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
   Valor recente:
   • "PendingFileRenameOperations"="\??\%WINDIR%\svchost32.exe"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços gerados


Assunto:
Um dos seguintes:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corpo:
O corpo do email tem uma das seguintes linhas:
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • The message contains Unicode characters and has been sentas a binary attachment.
   • Mail transaction failed. Partial message is available.


Atalho:
Os nomes dos ficheiros de atalhos são construídos a partir dos seguintes:

–  Começa por um dos seguintes:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Continua com uma das seguintes extensões falsas:
   • dat
   • elm
   • log
   • msg
   • txt

    A extensão do ficheiro é uma das seguintes:
   • bat
   • cmd
   • exe
   • pif
   • scr



Exemplos de como o nome do ficheiro de atalho pode parecer:
   • message.msg.exe
   • docs.txt.cmd
   • test.log.bat

O ficheiro de atalho é uma cópia do malware.

 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

 Backdoor Contacta o servidor:
Seguinte:
   • http://gadesunheranwui.com/**********

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP POST através de scripts CGI.

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • MEW 11

Descrição enviada por Teodor Onisor em terça-feira, 29 de agosto de 2006
Descrição atualizada por Teodor Onisor em quinta-feira, 14 de setembro de 2006

Voltar . . . .