email-worm.win32.warezov.v, win32/stration.al, w32/warezov.o@mm, win32.hllm.limar, w32/stration.v@mm, trojan.opnis.gen!pac, worm.stration.ab
tipo: gusano
tama?o: 154,219 bytes
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.9 y 6.0 al 12/09/2006.
descripción:
w32/stration.al , es un gusano que se difunde a trav?s de envi? masivo de e-mail, busca direcciones de e-mail dentro de archivos con las siguientes extensiones .adb, .asp, .cfg, .cgi, .dbx, .dhtm, .eml, .htm, .html, .jsp, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .sht, .shtm, .stm, .tbb, .txt, .uin, .wab, .wsh, .xls y .xml para luego enviarse a si mismo a todas las direcciones encontradas.
caracter?sticas del mensaje de email:
asunto: [variable uno de los siguientes]
good day server report hello picture status test error mail delivery system mail transaction failed mail server report cuerpo: [variable uno de los siguientes]
the message contains unicode characters and has been sentas a binary attachment. mail transaction failed. partial message is available. the message cannot be represented in 7-bit ascii encodingand has been sent as a binary attachment. archivo adjunto: [variable uno de los siguientes nombres, seguido de dobles extensiones]
body data doc document file message readme test text - primera extensi?n, puede ser una de las siguientes (.log, .elm, .msg, .txt o .dat)
- segunda extensi?n, seguido por espacios en blanco y por una de las siguientes extensiones (.bat, .cmd, .scr, .exe y .pif)
----------------------------
cuando el gusano se ejecuta abre el block de notas y se copia a si mismo dentro de:
windows \tsrv.exe luego crea los siguientes archivos dentro de:
windows \tsrv.dll windows \tsrv.s windows \tsrv.wax system \[nombre-aleatorio].dll system \[nombre-aleatorio].exe system \[nombre-aleatorio].dll tambi?n puede mostrar el siguiente mensaje
information
update successfully installed.
[ ok ]
nota:
- windows , representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt )
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 ).
adem?s crea las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
tsrv= windows \tsrv.exe
tambi?n crea la siguiente entrada en el registro
hkey_local_machine\software\microsoft\windows nt\currentversion\windows
appinit_dlls = [nombre-aleatorio].dll daniwshb.dll msv1nv4_.dll
tambi?n crea los siguientes archivos dentro de:
c:\windows\system32\acac.dll c:\windows\system32\daniwshb.dll c:\wndows\system32\dsoukbda.exe c:\windowsws\system32\msv1nv4_.dll c:\windows\system32\msvfjspr.dll finalmente el gusano sobrescribe el archivo hosts para poder bloquear el acceso a los siguientes sitios.
127.0.0.1 download.microsoft.com 127.0.0.1 go.microsoft.com 127.0.0.1 msdn.microsoft.com 127.0.0.1 office.microsoft.com 127.0.0.1 windowsupdate.microsoft.com 127.0.0.1 http://www.microsoft.com/downloads/search.aspx?displaylang=en 127.0.0.1 avp.ru 127.0.0.1 www.avp.ru 127.0.0.1 http://avp.ru 127.0.0.1 http://www.avp.ru 127.0.0.1 kaspersky.ru 127.0.0.1 www.kaspersky.ru 127.0.0.1 http://kaspersky.ru 127.0.0.1 kaspersky.com 127.0.0.1 www.kaspersky.com 127.0.0.1 http://]kaspersky.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 www.kaspersky-labs.com 127.0.0.1 http://kaspersky-labs.com 127.0.0.1 avp.ru/download/ 127.0.0.1 www.avp.ru/download/ 127.0.0.1 http://www.avp.ru/download/ 127.0.0.1 http://www.kaspersky.ru/updates/ 127.0.0.1 http://www.kaspersky-labs.com/updates/ 127.0.0.1 http://kaspersky.ru/updates/ 127.0.0.1 http://kaspersky-labs.com/updates/ 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads2.kaspersky-labs.com 127.0.0.1 downloads3.kaspersky-labs.com 127.0.0.1 downloads4.kaspersky-labs.com 127.0.0.1 downloads5.kaspersky-labs.com 127.0.0.1 http://downloads1.kaspersky-labs.com 127.0.0.1 http://downloads2.kaspersky-labs.com 127.0.0.1 http://downloads3.kaspersky-labs.com 127.0.0.1 http://downloads4.kaspersky-labs.com 127.0.0.1 http://downloads5.kaspersky-labs.com 127.0.0.1 downloads1.kaspersky-labs.com/products/ 127.0.0.1 downloads2.kaspersky-labs.com/products/ 127.0.0.1 downloads3.kaspersky-labs.com/products/ 127.0.0.1 downloads4.kaspersky-labs.com/products/ 127.0.0.1 downloads5.kaspersky-labs.com/products/ 127.0.0.1 http://downloads1.kaspersky-labs.com/products/ 127.0.0.1 http://downloads2.kaspersky-labs.com/products/ 127.0.0.1 http://downloads3.kaspersky-labs.com/products/ 127.0.0.1 http://downloads4.kaspersky-labs.com/products/ 127.0.0.1 http://downloads5.kaspersky-labs.com/products/ 127.0.0.1 downloads1.kaspersky-labs.com/updates/ 127.0.0.1 downloads2.kaspersky-labs.com/updates/ 127.0.0.1 downloads3.kaspersky-labs.com/updates/ 127.0.0.1 downloads4.kaspersky-labs.com/updates/ 127.0.0.1 downloads5.kaspersky-labs.com/updates/ 127.0.0.1 http://downloads1.kaspersky-labs.com/updates/ 127.0.0.1 http://downloads2.kaspersky-labs.com/updates/ 127.0.0.1 http://downloads3.kaspersky-labs.com/updates/ 127.0.0.1 http://downloads4.kaspersky-labs.com/updates/ 127.0.0.1 http://downloads5.kaspersky-labs.com/updates/ 127.0.0.1 ftp://downloads1.kaspersky-labs.com 127.0.0.1 ftp://downloads2.kaspersky-labs.com 127.0.0.1 ftp://downloads3.kaspersky-labs.com 127.0.0.1 ftp://downloads4.kaspersky-labs.com 127.0.0.1 ftp://downloads5.kaspersky-labs.com 127.0.0.1 ftp://downloads1.kaspersky-labs.com/products/ 127.0.0.1 ftp://downloads2.kaspersky-labs.com/products/ 127.0.0.1 ftp://downloads3.kaspersky-labs.com/products/ 127.0.0.1 ftp://downloads4.kaspersky-labs.com/products/ 127.0.0.1 ftp://downloads5.kaspersky-labs.com/products/ 127.0.0.1 ftp://downloads1.kaspersky-labs.com/updates/ 127.0.0.1 ftp://downloads2.kaspersky-labs.com/updates/ 127.0.0.1 ftp://downloads3.kaspersky-labs.com/updates/ 127.0.0.1 ftp://downloads4.kaspersky-labs.com/updates/ 127.0.0.1 ftp://downloads5.kaspersky-labs.com/updates/ 127.0.0.1 http://updates.kaspersky-labs.com/updates/ 127.0.0.1 http://updates1.kaspersky-labs.com/updates/ 127.0.0.1 http://updates2.kaspersky-labs.com/updates/ 127.0.0.1 http://updates3.kaspersky-labs.com/updates/ 127.0.0.1 http://updates4.kaspersky-labs.com/updates/ 127.0.0.1 ftp://updates.kaspersky-labs.com/updates/ 127.0.0.1 ftp://updates1.kaspersky-labs.com/updates/ 127.0.0.1 ftp://updates2.kaspersky-labs.com/updates/ 127.0.0.1 ftp://updates3.kaspersky-labs.com/updates/ 127.0.0.1 ftp://updates4.kaspersky-labs.com/updates/ 127.0.0.1 viruslist.com 127.0.0.1 www.viruslist.com 127.0.0.1 http://viruslist.com 127.0.0.1 viruslist.ru 127.0.0.1 www.viruslist.ru 127.0.0.1 http://viruslist.ru 127.0.0.1 ftp://ftp.kasperskylab.ru/updates/ 127.0.0.1 symantec.com 127.0.0.1 www.symantec.com 127.0.0.1 http://symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 http://customer.symantec.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 http://liveupdate.symantec.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 http://liveupdate.symantecliveupdate.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 http://securityresponse.symantec.com 127.0.0.1 service1.symantec.com 127.0.0.1 http://service1.symantec.com 127.0.0.1 symantec.com/updates 127.0.0.1 http://symantec.com/updates 127.0.0.1 updates.symantec.com 127.0.0.1 http://updates.symantec.com 127.0.0.1 eset.com/ 127.0.0.1 www.eset.com/ 127.0.0.1 http://www.eset.com/ 127.0.0.1 eset.com/products/index.php 127.0.0.1 www.eset.com/products/index.php 127.0.0.1 http://www.eset.com/products/index.php 127.0.0.1 eset.com/download/index.php 127.0.0.1 www.eset.com/download/index.php 127.0.0.1 http://www.eset.com/download/index.php 127.0.0.1 eset.com/joomla/ 127.0.0.1 www.eset.com/joomla/ 127.0.0.1 http://www.eset.com/joomla/ 127.0.0.1 u3.eset.com/ 127.0.0.1 http://u3.eset.com/ 127.0.0.1 u4.eset.com/ 127.0.0.1 http://u4.eset.com/ 127.0.0.1 www.symantec.com/updates

Comentarios (0) - Votos (0) - leido 40