Имя:Worm/Warezov.I.1
Обнаружен:08/09/2006
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Низкий
Файл статистики:Да
Размер файла:86.889 байт.
Контрольная сумма MD5:8420a6819eeb4092039eb4cf88764b3e
Версия VDF:6.35.01.196
Версия IVDF:6.35.01.200 - пятница, 8 сентября 2006 г.

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Mcafee: W32/Stration@MM
   •  TrendMicro: WORM_STRATION.AD
   •  Sophos: W32/Strati-Gen
   •  VirusBuster: trojan Trojan.Opnis.AC
   •  Bitdefender: BehavesLike:Trojan.Downloader


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Показывает содержимое созданного графического файла:


 Файлы Создается собственная копия:
   • %WINDIR%\svchost32.exe



Создается файл:

%Рабочая папка вредоносной программы%\%случайная буквенная комбинация%.tmp



Попытка загрузки следующего файла:

– Следующий URL:
   • http://gadesunheranwui.com/chr/jjjk/**********
Сохраняется локально в: %TEMPDIR%\~%случайная комбинация из двух букв%.exe Данный файл запускается на выполнение после его полной загрузки. На момент проверки данный файл не был доступен.

 Реестр Добавляется следующий ключ реестра:

– [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%WINDIR%\svchost32.exe"

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.


Тема:
Одно из следующих:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Тело:
–  В некоторых случаях может быть пустой.
–  Текст письма содержит произвольные данные.
Тело письма имеет один из следующих видов:
   • Mail transaction failed. Partial messageis available.
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment.


Прикрепленный файл:

–  Случайная последовательность символов
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Имеет одно из следующих фальшивых расширений файлов:
   • dat
   • elm
   • log
   • msg
   • txt

    Одно из следующих расширений файла:
   • scr
   • exe
   • bat
   • pif
   • cmd

Прикрепленный файл является копией вредоносной программы:



Письмо могло бы выглядеть следующим образом:



 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • MEW

Описание добавил Gabriel Mustata в(о) понедельник, 16 октября 2006 г.
Описание обновил Andrei Gherman в(о) вторник, 21 ноября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.