Имя:Worm/Opnis.T.1
Обнаружен:24/08/2006
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:85.738 байт.
Контрольная сумма MD5:7a44b326e90D03251af24e33826027ba
Версия VDF:6.35.01.132
Версия IVDF:6.35.01.135 - четверг, 24 августа 2006 г.

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Symantec: W32.Stration.B@mm
   •  Mcafee: W32/Stration@MM
   •  Sophos: W32/Dilworm-A
   •  VirusBuster: Trojan.Opnis.Z
   •  Bitdefender: Trojan.Downloader.Strationee.B


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Использует собственный почтовый движок


После активации запускается Windows приложение. При этом отображается следующее окно:


 Файлы Создается собственная копия:
   • %WINDIR%\svchost32.exe



Создаются следующие файлы:

– Незараженный файл:
   • %WINDIR%\svchost32.xml

%Рабочая папка вредоносной программы%\%Шестнадцатиричное число%.tmp



Попытка загрузки следующего файла:

– Следующий URL:
   • http://gadesunheranwui.com/chr/jjjk/**********
Сохраняется локально в: %TEMPDIR%\~%Шестнадцатиричное число%.tmp Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Strationee.A

 Реестр Изменяется следующий ключ реестра:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\
   S-1-5-18\Products\9040820900063D11C8EF00054038389C\Usage
   Новое значение:
   • "OUTLOOKFiles"=dword:%Шестнадцатиричное число%

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.


Тема:
Одно из следующих:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Тело:
Тело письма имеет один из следующих видов:
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • Mail transaction failed. Partial message is available.


Прикрепленный файл:
Имена прикрепелнных файлов образуются следующим образом:

–  Начинается одним из следующих:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

Завершается одним из следующих:
   • dat
   • elm
   • log
   • msg
   • txt

    Заканчивается следующей строкой:
   • bat
   • cmd
   • exe
   • pif
   • scr



Пример имён вложенных файлов:
   • body.dat.cmd
   • data.txt.pif

Прикрепленный файл является копией вредоносной программы:



Письмо выглядит следующим образом:


 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb


Создание адресов отправителя:
Для генерации адресов применяются следующие строки:
   • Barbara; Betty; Bill; Carol; Charles; Chris; Daniel; David; Don;
      Donna; Dorothy; Edward; Elizabeth; George; Helen; James; Jennifer;
      John; Joseph; Karen; Ken; Linda; Lisa; Margaret; Maria; Mark; Mary;
      Michael; Nancy; Patricia; Paul; Richard; Rob; Ron; Ruth; Sandra;
      Sharon; Steven; Susan; Tom

Первая строка может комбинироваться со одной из следующих:
   • Adams; Allen; Anderson; Baker; Brown; Carter; Clark; Davis; Garcia;
      Gonzalez; Green; Hall; Harris; Hernandez; Hill; Jackson; Jones;
      Johnson; King; Lee; Lewis; Lopez; Martin; Martinez; Miller; Moore;
      Nelson; Robinson; Rodriguez; Scott; Smith; Taylor; Thomas; Thompson;
      Walker; White; Williams; Wilson; Wright; Young


Одно из следующих доменных имен:
   • care2.com; email.myway.com; fastmail.fm; gmail.com; goowy.com;
      hotmail.com; inbox.com; mail.aim.com; mail.com; mail.lycos.com;
      yahoo.com

Пример сгенерированных адресов:
   • David Lee &ltDavid_1972@email.myway.com>
   • George Lopez &ltGeorge.Lopez@mail.lycos.com>
   • Mark Robinson &ltRobinson_vplxh@goowy.com>

 Backdoor Устанавливает соединение с сервером
Следующий:
   • http://gadesunheranwui.com/cgi-bin/**********

В результате может пересылаться информация. Для этого служит метод HTTP POST с применением CGI скриптов.


Передает информацию о:
    • Текущий malware статус.

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Ionut Slaveanu в(о) понедельник, 28 августа 2006 г.
Описание обновил Ionut Slaveanu в(о) понедельник, 11 сентября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.