Worm/Warezov.A.3 - Worm

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	Worm/Warezov.A.3
Обнаружен:	29/08/2006
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Средний
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	90.566 байт.
Контрольная сумма MD5:	5fdc2edefcae9b0Beb98c743d7951291
Версия VDF:	6.35.01.157
Версия IVDF:	6.35.01.160

Общее Метод распространения:
   • Email

Псевдонимы (аliases):
   • Symantec: W32.Stration.C@mm
   • Mcafee: W32/Stration@MM
   • Kaspersky: Email-Worm.Win32.Warezov.h
   • TrendMicro: WORM_STRATION.BD
   • VirusBuster: Trojan.Opnis.AI
   • Eset: Win32/Stration.L
   • Bitdefender: Trojan.Strationee.K

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Загружает файл
   • Создает потенциально опасный файл
   • Использует собственный почтовый движок
   • Изменение реестра

После запуска выдается следующая информация:

Файлы Создается собственная копия:
   • %WINDIR%\rsmb.exe

Создаются следующие файлы:

– Файл с содержащимися в нем Email адресами:
   • %WINDIR%\rsmb.wax

– %WINDIR%\rsmb.gfx
– %Рабочая папка вредоносной программы%\%случайная комбинация из двух букв%.tmp
– %WINDIR%\rsmb.dll Применяется для сокрытия процесса. Определен как: Worm/Warezov.C

Попытка загрузки следующего файла:

– Следующий URL:
   • gadesunheranwui.com/chr/zjjk/**********
На момент проверки данный файл не был доступен.

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "rsmb"="%WINDIR%\rsmb.exe s"

Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:

От:
Адрес отправителя был фальсифицирован.

Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты

Тема:
Одно из следующих:
   • Error
   • picture
   • Status
   • Good day
   • Mail Delivery System
   • Mail Transaction Failed

Тело:
Тело письма имеет один из следующих видов:
   • The message contains Unicode characters and has been sentas a binary attachment.
   • The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
   • Mail transaction failed. Partial message is available.

Прикрепленный файл:
Имя прикрепленного файла образуется следующим образом:

– Начинается одним из следующих:
   • test
   • file
   • doc
   • document
   • message

    Имеет одно из следующих фальшивых расширений файлов:
   • dat
   • log
   • msg
   • txt

    Одно из следующих расширений файла:
   • exe
   • cmd
   • pif

Прикрепленный файл является копией вредоносной программы:

Письмо выглядит следующим образом:

Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • xml; xls; wsh; wab; uin; txt; tbb; stm; shtm; sht; php; oft; ods; nch;
      msg; mmf; mht; mdx; mbx; jsp; html; htm; eml; dhtm; dbx; cgi; cfg;
      asp; adb

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• MEW

Краткое описание см. здесь.

Описание добавлено: Irina Boldea Wed, 18 Oct 2006 11:58 (GMT+1)
Описание обновлено: Irina Boldea Thu, 19 Oct 2006 16:15 (GMT+1)

» О вредоносном ПО
» О фишинге
» В список опасных вирусов

« назад