Имя:Worm/Warezov.B.2
Обнаружен:29/08/2006
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:88.995 байт.
Контрольная сумма MD5:392dd1ad2ed5f06058e0e46df00C89b2
Версия VDF:6.35.01.157
Версия IVDF:6.35.01.160 - среда, 30 августа 2006 г.

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Symantec: W32/Stration@MM
   •  Kaspersky: Email-Worm.Win32.Warezov.h
   •  TrendMicro: WORM_STRATION.AY
   •  VirusBuster: Trojan.Opnis.AH
   •  Eset: Win32/Stration.N
   •  Bitdefender: Win32.Worm.Stration.C


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает файл
   • Создает файл
   • Создает потенциально опасный файл
   • Использует собственный почтовый движок
   • Изменение реестра


После запуска выдается следующая информация:


 Файлы Создается собственная копия:
   • %WINDIR%\rsmb.exe



Создаются следующие файлы:

– Файл с содержащимися в нем Email адресами:
   • %WINDIR%\rsmb.wax

%WINDIR%\rsmb.gfx
%Рабочая папка вредоносной программы%\%случайная комбинация из двух букв%.tmp
%WINDIR%\rsmb.dll Применяется для сокрытия процесса. Определен как: Worm/Warezov.C




Попытка загрузки следующего файла:

– Следующий URL:
   • gadesunheranwui.com/chr/zjjk/**********
На момент проверки данный файл не был доступен.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "rsmb"="%WINDIR%\rsmb.exe s"

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты


Тема:
Одно из следующих:
   • Error
   • picture
   • Status
   • Good day
   • Mail Delivery System
   • Mail Transaction Failed



Тело:
Тело письма имеет один из следующих видов:
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • Mail transaction failed. Partial message is available.


Прикрепленный файл:
Имя прикрепленного файла образуется следующим образом:

–  Начинается одним из следующих:
   • test
   • file
   • doc
   • document
   • message

    Имеет одно из следующих фальшивых расширений файлов:
   • dat
   • log
   • msg
   • txt

    Одно из следующих расширений файла:
   • exe
   • cmd
   • pif

Прикрепленный файл является копией вредоносной программы:



Письмо выглядит следующим образом:


 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • MEW

Описание добавил Irina Boldea в(о) четверг, 12 октября 2006 г.
Описание обновил Irina Boldea в(о) четверг, 19 октября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.