Имя:Worm/Stration.G
Обнаружен:22/11/2006
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Средний
Потенциал повреждений:От низкого до среднего
Файл статистики:Нет
Размер файла:~110.000 байт.
Версия VDF:6.36.01.66
Версия IVDF:6.36.01.70 - среда, 22 ноября 2006 г.

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Kaspersky: Email-Worm.Win32.Warezov.gl
   •  F-Secure: Email-Worm.Win32.Warezov.gl
   •  Grisoft: I-Worm/Stration.BCF
   •  Bitdefender: Win32.ExplorerHijack


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Создает файлы
   • Создает потенциально опасный файл
   • Использует собственный почтовый движок
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %WINDIR%\cservv32.exe



Создаются следующие файлы:

– Незараженный файл:
   • %WINDIR%\cservv32.dat

– Файл с содержащимися в нем Email адресами:
   • %WINDIR%\cservv32.wax

%SYSDIR%\e1.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой.



Попытка загрузки следующего файла:

– Следующий URL:
   • www4.rasetikuinyunhderunsa.com/chr/863/**********
Сохраняется локально в: %TEMPDIR%\~%Шестнадцатиричное число%.tmp Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "cservv32"="%WINDIR%\cservv32.exe s"



Изменяется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Прежнее значение:
   • "AppInit_DLLs"=""
   Новое значение:
   • "AppInit_DLLs"="e1.dll"

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты
– Сгенерированные адреса


Дизайн писем:
Тема: Mail server report.
Текст письма:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
     addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Прикрепленный файл:
   • Update-KB%Число%-x86.zip
Тема: Mail server report.
Текст письма:
   • Mail server report.
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
     addresses
     Please install updates for worm elimination and your computer restoring.
     Best regards,
     Customers support service
Прикрепленный файл:
   • Update-KB%Число%-x86.exe


Тема:
Одно из следующих:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail server report.
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



Тело:
Тело письма имеет один из следующих видов:
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
   • Mail transaction failed. Partial message is available.
   • The message contains Unicode characters and has been sent as a binary attachment.


Прикрепленный файл:
Данный файл содержит вредоносный код. Описание приведено далее: TR/Dldr.Stration.G

Имена прикрепелнных файлов образуются следующим образом:

   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    Иногда имеет одно из следующих фальшивых расширений файла:
   • dat
   • txt
   • elm
   • log
   • msg

    Одно из следующих расширений файла:
   • bat
   • cmd
   • exe
   • pif
   • cmd
   • zip



Письмо могло бы выглядеть следующим образом:




 Отправка  Создание адресов отправителя:
Для генерации адресов применяются следующие строки:
   • sec
   • secur
   • serv

Комбинируется с обнаруженным в файлах системы доменным именем.

 Backdoor Устанавливает соединение с сервером
Все последующие:
   • www3.rasetikuinyunhderunsa.com:80/cgi-bin/**********
   • www2.rasetikuinyunhderunsa.com:8082/**********

В результате может пересылаться информация.

Передает информацию о:
    • Собранные электронные адреса

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Adriana Popa в(о) среда, 22 ноября 2006 г.
Описание обновил Adriana Popa в(о) четверг, 23 ноября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.