VírusWorm/Warezov.AM.6
Data em que surgiu:29/09/2006
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:204.851 Bytes
MD5 checksum:632810eabc99e2b9cd6fe57f9da8739e
Versão VDF:6.36.00.49
Versão IVDF:6.36.00.60 - terça-feira, 26 de setembro de 2006

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Mcafee: W32/Stration@MM
   •  Kaspersky: Email-Worm.Win32.Warezov.am
   •  Sophos: W32/Stration-AD
   •  Eset: Win32/Stration.CX


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega ficheiros maliciosos
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros São criados os seguintes ficheiros:

%SYSDIR%\actxippr.dll Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: WORM/Warezov.AM.5

%SYSDIR%\slbcslay.exe Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: WORM/Warezov.AM.1

%SYSDIR%\acac.dll Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: WORM/Warezov.AM.4

%SYSDIR%\mtxlcomm.dll Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: WORM/Warezov.AM.2

%SYSDIR%\lsaswdmi.dll Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: WORM/Warezov.AM.3




Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://www5.cedesunjerinkas.com/chr/wtb/**********
Além disso executa-se depois do download estar completo.

– A partir da seguinte localização:
   • http://www.traferreg.com/chr/zzzx/e/**********
Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://www.traferreg.com/chr/zzzx/e/**********


– A partir da seguinte localização:
   • http://www.traferreg.com/chr/zzzx/**********
Ainda em fase de pesquisa.

 Registry (Registo do Windows) São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   acac]
   • "Image"="%directório de execução do malware%\%ficheiro executado%"
   • "Asynchronous"=dword:00000000
   • "Impersonate"=dword:00000000
   • "Shutdown"="WlxShutdownEvent"
   • "Startup"="WlxStartupEvent"
   • "DllName"="%SYSDIR%\acac.dll"

– [HKLM\Software\Microsoft\scrrnpwm]


O seguinte valor do registo é alterado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Valor recente:
   • "AppInit_DLLs"=" actxippr.dll lsaswdmi.dll"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços gerados


Assunto:
Um dos seguintes:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail server report.
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Corpo:
O corpo do email é um dos seguintes:

   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
     addresses
     Please install updates for worm elimination and your computer restoring.
     
     Best regards,
     Customers support service

   • Mail transaction failed. Partial message is available.

   • The message cannot be represented in 7-bit ASCII encoding
     and has been sent as a binary attachment


Atalho:
O nome do ficheiro de atalho é construído a partir do seguinte:

–  Texto aleatório
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text
   • Update-KB%palavras aleatórias%-x86

    Continua com uma das seguintes extensões falsas:
   • dat
   • elm
   • log
   • msg
   • txt
   • zip
   • exe

    A extensão do ficheiro é uma das seguintes:
   • cmd
   • scr
   • exe
   • pif
   • bat

O ficheiro de atalho é uma cópia do malware.



O email pode ser parecido com um dos seguintes:



 Backdoor Contacta o servidor:
Seguinte:
   • http://www3.cedesunjerinkas.com/cgi-bin/**********

Isto é feito usando o método HTTP POST através de scripts PHP.


Envia informação sobre:
    • Situação actual de malware
    • Informação sobre o sistema operativo Windows

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: %SYSDIR%\mtxlcomm.dll

    Todos os processos que se seguem:
   • iexplore.exe
   • %Processos com janelas visíveis%


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • MEW

Descrição enviada por Monica Ghitun em sexta-feira, 29 de setembro de 2006
Descrição atualizada por Andrei Ivanes em terça-feira, 24 de outubro de 2006

Voltar . . . .