VírusWorm/Stration.C
Data em que surgiu:19/09/2006
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Não
Tamanho:~115.000 Bytes
Versão VDF:6.36.00.33
Versão IVDF:6.36.00.43 - quinta-feira, 21 de setembro de 2006

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Kaspersky: Email-Worm.Win32.Warezov.at
   •  Sophos: W32/Stratio-AN


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega ficheiros maliciosos
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador


Depois da execução executa um aplicação que exibe a janela seguinte:


 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\t2serv.exe



São criados os seguintes ficheiros:

– Ficheiros não maliciosos:
   • %directório de execução do malware%\10.tmp
   • %WINDIR%\tserv.s

– Ficheiro que contém uma colecção de endereços de email:
   • %WINDIR%\t2serv.wax

%SYSDIR%\cscdgcde.dll Outras investigações apontam para que este ficheiro, também, seja malware.
%SYSDIR%\esenmqtr.dll Outras investigações apontam para que este ficheiro, também, seja malware.
%SYSDIR%\esenprfl.dll Outras investigações apontam para que este ficheiro, também, seja malware.
%SYSDIR%\e1.dll Outras investigações apontam para que este ficheiro, também, seja malware.
%WINDIR%\t2serv.dll Outras investigações apontam para que este ficheiro, também, seja malware.



Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://www3.vertionkdaseliplim.com/chr/grv/**********
Encontra-se no disco rígido: %TEMPDIR%\~%número% .tmp Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware.

– A partir da seguinte localização:
   • http://www3.vertionkdaseliplim.com/chr/grv/**********
Encontra-se no disco rígido: %TEMPDIR%\~%número% .tmp Além disso executa-se depois do download estar completo. Ainda em fase de pesquisa.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • t2serv = %WINDIR%\t2serv.exe



O seguinte valor do registo é alterado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Valor anterior:
   • AppInit_DLLs =
   Valor recente:
   • AppInit_DLLs = cscdgcde.dll e1.sll

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).


Formato do email:



De: sec@%domínio do destinatário%
Assunto: Mail server report.
Body:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Atalho:
   • Update-KB%número% -x86.exe



De: secur@%domínio do destinatário%
Assunto: Mail server report.
Body:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Atalho:
   • Update-KB%número% -x86.exe



De: serv@%domínio do destinatário%
Assunto: Mail server report.
Body:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Atalho:
   • Update-KB%número% -x86.exe


Assunto:
Um dos seguintes:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corpo:
O corpo do email tem uma das seguintes linhas:
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
   • The message contains Unicode characters and has been sent as a binary attachment


Atalho:
O nome do ficheiro de atalho é construído a partir do seguinte:

–  Começa por um dos seguintes:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Às vezes continua com uma seguintes das extensões falsas:
   • dat
   • elm
   • log
   • msg
   • txt

    A extensão do ficheiro é uma das seguintes:
   • bat
   • cmd
   • exe
   • pif
   • scr

O anexo é uma cópia do malware descrito aqui: Worm/Warezov.DLL.C



O email pode ser parecido com um dos seguintes:



 Mailing Pesquisa endereços:
Procura endereços de email no seguinte ficheiro:
   • %todos os ficheiros *.htm%

 Backdoor Contacta o servidor:
Seguintes:
   • http://www3.vertionkdaseliplim.com/cgi-bin/**********
   • http://www3.vertionkdaseliplim.com/cgi-bin/**********

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Também, repete a ligação periodicamente. Isto é feito pelos métodos HTTP GET e POOS usando scripts PHP.

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Andrei Gherman em segunda-feira, 25 de setembro de 2006
Descrição atualizada por Andrei Gherman em sexta-feira, 20 de outubro de 2006

Voltar . . . .