Полное описание

Имя:	Worm/Warezov.I.1
Обнаружен:	08/09/2006
Вид:	Червь
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Средний
Потенциал повреждений:	Низкий
Файл статистики:	Да
Размер файла:	86.889 байт.
Контрольная сумма MD5:	8420a6819eeb4092039eb4cf88764b3e
Версия VDF:	6.35.01.196
Версия IVDF:	6.35.01.200 - пятница, 8 сентября 2006 г.

Общее Метод распространения:
   • Email

Псевдонимы (аliases):
   • Mcafee: W32/Stration@MM
   • TrendMicro: WORM_STRATION.AD
   • Sophos: W32/Strati-Gen
   • VirusBuster: trojan Trojan.Opnis.AC
   • Bitdefender: BehavesLike:Trojan.Downloader

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Показывает содержимое созданного графического файла:

Файлы Создается собственная копия:
• %WINDIR%\svchost32.exe

Создается файл:

– %Рабочая папка вредоносной программы%\%случайная буквенная комбинация%.tmp

Попытка загрузки следующего файла:

– Следующий URL:
• http://gadesunheranwui.com/chr/jjjk/**********
Сохраняется локально в: %TEMPDIR%\~%случайная комбинация из двух букв%.exe Данный файл запускается на выполнение после его полной загрузки. На момент проверки данный файл не был доступен.

Реестр Добавляется следующий ключ реестра:

– [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
• "PendingFileRenameOperations"="\??\%WINDIR%\svchost32.exe"

Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:

От:
Адрес отправителя был фальсифицирован.

Кому:
– В определенных файлах системы были обнаружены электронные адреса.

Тема:
Одно из следующих:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test

Тело:
– В некоторых случаях может быть пустой.
– Текст письма содержит произвольные данные.
Тело письма имеет один из следующих видов:
   • Mail transaction failed. Partial messageis available.
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment.

Прикрепленный файл:

– Случайная последовательность символов
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Имеет одно из следующих фальшивых расширений файлов:
   • dat
   • elm
   • log
   • msg
   • txt

    Одно из следующих расширений файла:
   • scr
   • exe
   • bat
   • pif
   • cmd

Прикрепленный файл является копией вредоносной программы:

Письмо могло бы выглядеть следующим образом:

Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• MEW

Описание добавил Gabriel Mustata в(о) понедельник, 16 октября 2006 г.
Описание обновил Andrei Gherman в(о) вторник, 21 ноября 2006 г.

Назад . . . .