VírusWorm/Stration.C.3
Data em que surgiu:01/09/2006
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:138.849 Bytes
MD5 checksum:0Bd44775fadc2e29fc48c7f9ddd89752
Versão VDF:6.35.01.173
Versão IVDF:6.35.01.177 - segunda-feira, 4 de setembro de 2006

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Mcafee: W32/Stration@MM
   •  TrendMicro: WORM_STRATION.CI
   •  Sophos: W32/Stration-P
   •  VirusBuster: iworm Trojan.Opnis.AM
   •  Bitdefender: Win32.Worm.Sumom.D


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros maliciosos
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows


Depois da execução executa um aplicação que exibe a janela seguinte:


 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\rsmbx.exe



São criados os seguintes ficheiros:

– Ficheiros não maliciosos:
   • %WINDIR%\rsmbx.gfx
   • %WINDIR%\rsmbx.z
   • %directório de execução do malware%\%número hexadecimal%.tmp

– Ficheiro que contém uma colecção de endereços de email:
   • %WINDIR%\rsmbx.wax

%WINDIR%\rsmbx.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: WORM/Stration.C.2

%SYSDIR%\hpzl449c14b7.exe
%SYSDIR%\cmut449c14b7.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: WORM/Stration.C.4

%SYSDIR%\msji449c14b7.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: WORM/Stration.C.1


– A partir da seguinte localização:
   • http://gadesunheranwui.com/chr/zjjk/**********
Encontra-se no disco rígido: %TEMPDIR%\~%número hexadecimal%.tmp Além disso executa-se depois do download estar completo. Ainda em fase de pesquisa.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "rsmbx"="%WINDIR%\rsmbx.exe s"



O seguinte valor do registo é alterado:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
   Valor recente:
   • "AppInit_DLLs"=" msji449c14b7.dll"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.


Assunto:
Um dos seguintes:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corpo:


O corpo do email tem uma das seguintes linhas:
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • Mail transaction failed. Partial message is available.


Atalho:
Os nomes dos ficheiros de atalhos são construídos a partir dos seguintes:

–  Começa por um dos seguintes:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

Continuado por um dos seguintes:
   • dat
   • elm
   • log
   • msg
   • txt

    Continuado por um dos seguintes:
   • bat
   • cmd
   • exe
   • pif
   • scr



Exemplos de como o nome do ficheiro de atalho pode parecer:
   • docs.dat.cmd
   • file.txt.exe

O ficheiro de atalho é uma cópia do malware.



O email pode ser parecido com o seguinte:


 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • adb; asp; cfg; cgi; dbx; eml; htm; jsp; mbx; mdx; mht; mmf; msg; nch;
      ods; oft; php; sht; stm; tbb; txt; uin; wab


Endereços gerados para o campo DE:
Utiliza o seguinte texto para gerar endereços:
   • adam; anna; alice; betty; bob; brenda; brent; brian; carol; claudia;
      craig; cyber; dan; dave; david; debby; den; Donna; frank; george;
      gerhard; helen; james; jane; jayson; jerry; jim; joe; john; karen;
      linda; lisa; mancy; maria; ruth; sandra; sharon; Susan

Pode combinar a primeira cadeia de caracteres com um dos seguintes:
   • adams; allen; anderson; baker; carter; clark; garcia; gonzalez; green;
      hall; harris; hernandez; hill; jackson; jeremy; joe; kenneth; king;
      lee; lewis; lopez; martinez; miller; molly; moore; nelson; robinson;
      robyn; rodriguez; scott; shaan; taylor; thomas; thompson; walker;
      white; wilson; wright; young


Tem um dos seguintes domínios:
   • care2.com; email.myway.com; fastmail.fm; gmail.com; goowy.com;
      hotmail.com; inbox.com; mail.aim.com; mail.com; mail.lycos.com;
      yahoo.com

Exemplos de endereços gerados
   • john &ltjohn.harris@goowy.com>
   • Susan walker &ltSusan.walker@gmail.com>

 Backdoor Contacta o servidor:
Seguinte:
   • http://gadesunheranwui.com/cgi-bin/**********

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP POST através de scripts CGI.


Envia informação sobre:
    • Situação actual de malware

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: %WINDIR%\rsmbx.dll

    Todos os processos que se seguem:
   • %são iniciados todos os processos logo que o malware fica activo na memória%
   • Explorer.EXE


 Tecnologia de Rootkit É uma tecnologia malware-específica. O malware esconde-se de utilitários de sistema, aplicações de segurança e, do utilizador.


Oculta o seguinte:
– Os seus próprios processos

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Ionut Slaveanu em segunda-feira, 25 de setembro de 2006
Descrição atualizada por Ionut Slaveanu em segunda-feira, 25 de setembro de 2006

Voltar . . . .