Имя:Worm/Warezov.AM.6
Обнаружен:29/09/2006
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:204.851 байт.
Контрольная сумма MD5:632810eabc99e2b9cd6fe57f9da8739e
Версия VDF:6.36.00.49
Версия IVDF:6.36.00.60 - вторник, 26 сентября 2006 г.

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Mcafee: W32/Stration@MM
   •  Kaspersky: Email-Worm.Win32.Warezov.am
   •  Sophos: W32/Stration-AD
   •  Eset: Win32/Stration.CX


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает файлы
   • Создает вредоносные файлы
   • Использует собственный почтовый движок
   • Изменение реестра
   • Похищает информацию

 Файлы Создаются следующие файлы:

%SYSDIR%\actxippr.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: WORM/Warezov.AM.5

%SYSDIR%\slbcslay.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: WORM/Warezov.AM.1

%SYSDIR%\acac.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: WORM/Warezov.AM.4

%SYSDIR%\mtxlcomm.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: WORM/Warezov.AM.2

%SYSDIR%\lsaswdmi.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: WORM/Warezov.AM.3




Попытка загрузки следующих файлов:

– Следующий URL:
   • http://www5.cedesunjerinkas.com/chr/wtb/**********
Данный файл запускается на выполнение после его полной загрузки.

– Следующий URL:
   • http://www.traferreg.com/chr/zzzx/e/**********
На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://www.traferreg.com/chr/zzzx/e/**********


– Следующий URL:
   • http://www.traferreg.com/chr/zzzx/**********
На момент проверки данный файл не был доступен.

 Реестр Добавляются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   acac]
   • "Image"="%Рабочая папка вредоносной программы%\%выполненный файл%"
   • "Asynchronous"=dword:00000000
   • "Impersonate"=dword:00000000
   • "Shutdown"="WlxShutdownEvent"
   • "Startup"="WlxStartupEvent"
   • "DllName"="%SYSDIR%\acac.dll"

– [HKLM\Software\Microsoft\scrrnpwm]


Изменяется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Новое значение:
   • "AppInit_DLLs"=" actxippr.dll lsaswdmi.dll"

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Сгенерированные адреса


Тема:
Одно из следующих:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail server report.
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Тело:
Тело письма имеет один из следующих видов:

   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
     addresses
     Please install updates for worm elimination and your computer restoring.
     
     Best regards,
     Customers support service

   • Mail transaction failed. Partial message is available.

   • The message cannot be represented in 7-bit ASCII encoding
     and has been sent as a binary attachment


Прикрепленный файл:
Имя прикрепленного файла образуется следующим образом:

–  Случайная последовательность символов
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text
   • Update-KB%случайные слова%-x86

    Имеет одно из следующих фальшивых расширений файлов:
   • dat
   • elm
   • log
   • msg
   • txt
   • zip
   • exe

    Одно из следующих расширений файла:
   • cmd
   • scr
   • exe
   • pif
   • bat

Прикрепленный файл является копией вредоносной программы:



Письмо могло бы выглядеть следующим образом:



 Backdoor Устанавливает соединение с сервером
Следующий:
   • http://www3.cedesunjerinkas.com/cgi-bin/**********

Для этого служит метод HTTP POST с применением PHP скриптов.


Передает информацию о:
    • Текущий malware статус.
    • Информация об операционной системе Windows

 Инфицирование –  Следующий файл вставляется в процесс: %SYSDIR%\mtxlcomm.dll

    Все следующие процессы:
   • iexplore.exe
   • %Процессы с ото
Описание добавил Monica Ghitun в(о) пятница, 29 сентября 2006 г.
Описание обновил Andrei Ivanes в(о) вторник, 24 октября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.