English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Stration.B.1
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Stration.B.1 - Worm
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
Worm/Stration.B.1
Обнаружен:
24/08/2006
Вид:
Червь
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Средний
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
86.048 байт.
Контрольная сумма MD5:
f973b4c2739d8344d1eb2b7185f55ab0
Версия VDF:
6.35.01.135
Версия IVDF:
6.35.01.138
Общее
Метод распространения:
• Email
Псевдонимы (аliases):
• Mcafee: W32/Stration@MM
• Kaspersky: Trojan-Downloader.Win32.Agent.atq
• F-Secure: Trojan-Downloader.Win32.Agent.atq
• Sophos: W32/Stration-E
• VirusBuster: Trojan.Opnis.AA
• Eset: Win32/Stration.C
• Bitdefender: Win32.HLLW.Stration.A
Операционные системы:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Загружает вродоносный файл
• Использует собственный почтовый движок
После активации запускается Windows приложение. При этом отображается следующее окно:
Файлы
Создается собственная копия:
•
%WINDIR%
\svchost32.exe
Создаются следующие файлы:
– Незараженный файл:
•
%WINDIR%
\svchost32.xml
–
%Рабочая папка вредоносной программы%
\
%Шестнадцатиричное число%
.tmp Файл является безвредным текстовым файлом со следующим содержимым:
•
%случайная буквенная комбинация%
Попытка загрузки следующего файла:
– Следующий URL:
• http://gadesunheranwui.com/chr/jjjk/**********
Сохраняется локально в:
%TEMPDIR%
\~
%Шестнадцатиричное число%
.tmp Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой.
Реестр
Изменяется следующий ключ реестра:
– HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
Новое значение:
• "PendingFileRenameOperations"="\??\
%WINDIR%
\svchost32.exe"
Email
Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:
От:
Адрес отправителя был фальсифицирован.
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.
Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Сгенерированные адреса
Тема:
Одно из следующих:
• Error
• Good day
• hello
• Mail Delivery System
• Mail Transaction Failed
• picture
• Server Report
• Status
• test
Тело:
Тело письма имеет один из следующих видов:
• The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
• The message contains Unicode characters and has been sentas a binary attachment.
• Mail transaction failed. Partial message is available.
Прикрепленный файл:
Имена прикрепелнных файлов образуются следующим образом:
– Начинается одним из следующих:
• body
• data
• doc
• docs
• document
• file
• message
• readme
• test
• text
Имеет одно из следующих фальшивых расширений файлов:
• dat
• elm
• log
• msg
• txt
Одно из следующих расширений файла:
• bat
• cmd
• exe
• pif
• scr
Пример имён вложенных файлов:
• message.msg.exe
• docs.txt.cmd
• test.log.bat
Прикрепленный файл является копией вредоносной программы:
Отправка
Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
• xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
asp; adb
Backdoor
Устанавливает соединение с сервером
Следующий:
• http://gadesunheranwui.com/**********
В результате может пересылаться информация. Для этого служит метод HTTP POST с применением CGI скриптов.
Данные файла
Язык программирования:
Программа была написана на MS Visual C++.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• MEW 11
Краткое описание см.
здесь
.
Описание добавлено: Teodor Onisor Tue, 29 Aug 2006 11:08 (GMT+1)
Описание обновлено: Teodor Onisor Thu, 14 Sep 2006 15:10 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.U
Worm/Mytob.AT
Worm/Netsky.J
Worm/Mytob.AD
Worm/Klez.E
BDS/McMaggot.A
Worm/McMaggot.A
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/Stration.B.1
Print this page
.gif)
