TR/Dldr.Stration.C - Trojan

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	TR/Dldr.Stration.C
Data em que surgiu:	19/10/2006
Tipo:	Trojan
Subtipo:	Downloader
Incluído na lista "In The Wild"	Sim
Nível de danos:	De médio a elevado
Nível de distribuição:	Baixo
Nível de risco:	De baixo a médio
Ficheiro estático:	Não
Tamanho:	~30.000 Bytes
Versão VDF:	6.36.00.129
Versão IVDF:	6.36.00.146
Heurístico:	HEUR/Crypted

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Mcafee: W32/Stration.dr
   • Kaspersky: Email-Worm.Win32.Warezov.dc
   • Sophos: W32/Stratio-AW
   • VirusBuster: Trojan.Opnis.EM
   • Bitdefender: Trojan.Downloader.AOW

Identificado anteriormente como:
   • Worm/Marmota.B

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega um ficheiro malicioso

Depois de executado é visualizada a seguinte informação:

Depois da execução executa um aplicação que exibe a janela seguinte:

Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\%uma série de caracteres aleatórios%.exe

É criado o seguinte ficheiro:

– Ficheiro não malicioso:
   • %directório de execução do malware%\%uma série de caracteres
      aleatórios%.tmp

Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://www6.vedasetionkderun.com/819/**********
Encontra-se no disco rígido: %TEMPDIR%\~%número% .tmp Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Stration.C

E-mail Não tem rotinas próprias de propagação mas é enviado por email. Tem as seguintes características:

De:
O endereço do remetente é falsificado.

Formato do email:

De: sec@%domínio do destinatário%
Assunto: Mail server report.
Body:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Atalhos:
   • Update-KB%número% -x86.exe
   • Update-KB%número% -x86.zip

De: secur@%domínio do destinatário%
Assunto: Mail server report.
Body:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Atalhos:
   • Update-KB%número% -x86.exe
   • Update-KB%número% -x86.zip

De: serv@%domínio do destinatário%
Assunto: Mail server report.
Body:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Atalhos:
   • Update-KB%número% -x86.exe
   • Update-KB%número% -x86.zip

Assunto:
Um dos seguintes:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test

Corpo:
O corpo do email tem uma das seguintes linhas:
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
   • The message contains Unicode characters and has been sent as a binary attachment

Atalho:
O nome do ficheiro de atalho é construído a partir do seguinte:

– Começa por um dos seguintes:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Às vezes continua com uma seguintes das extensões falsas:
   • dat
   • elm
   • log
   • msg
   • txt

    A extensão do ficheiro é uma das seguintes:
   • bat
   • cmd
   • exe
   • pif
   • scr
   • zip

O email pode ser parecido com um dos seguintes:

Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Veja aqui uma breve descrição.

Descrição adicionada por Alexander Vukcevic em Thu, 19 Oct 2006 01:59 (GMT+1)
Descrição adicionada por Andrei Gherman em Fri, 20 Oct 2006 09:01 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back