W32/Stration.AT

Descripción:

W32/Stration.AT, es un gusano que se difunde a través de envió masivo de e-mail, busca direcciones de e-mail dentro de archivos con las siguientes extensiones .adb, .asp, .cfg, .cgi, .dbx, .dhtm, .eml, .htm, .html, .jsp, .mbx, .mdx, .mht, .mmf, .msg, .nch,  .ods, .oft, .php, .sht, .shtm, .stm, .tbb, .txt, .uin, .wab, .wsh, .xls y .xml  para luego enviarse a si mismo a todas las direcciones encontradas.

Características del Mensaje de Email:

Asunto: [Variable uno de los siguientes]

• Good Day
• Server Report
• hello
• picture
• Status
• test
• Error
• Mail Delivery System
• Mail Transaction Failed
• Mail Server Report

Cuerpo: [Variable uno de los siguientes]

• The message contains Unicode characters and has been sentas a binary attachment.
• Mail transaction failed. Partial message is available.
• The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment.

• Mail server report. Our firewall determined the e-mails containing worm copies are being sent from your computer. Nowadays it happens from many computers, because this is a new virus type (Network Worms). Using the new bug in the Windows, these viruses infect the computer unnoticeably. After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses. Please install updates for worm elimination and your computer restoring.

  Best regards,

  Customers support service

  -------------------------------

Archivo Adjunto: [Variable uno de los siguientes nombres, seguido de dobles extensiones]

• body
• data
• doc
• docs
• document
• file
• message
• readme
• test
• text
• Update-KB[número aleatorio]-x86

- Primera extensión, puede ser una de las siguientes (.log, .elm, .msg, .txt o .dat)

- Segunda extensión, seguido por espacios en blanco y por una de las siguientes extensiones (.bat, .cmd, .scr, .exe y .pif)

----------------------------

Cuando el gusano se ejecuta  abre el Block de Notas y se copia a si mismo dentro de:

• %windows%\tserv.exe

Luego crea los siguientes archivos dentro de:

• %windows%\tserv.dll
• %windows%\tserv.wax
• %system%\[nombre-aleatorio].dll
• %system%\[nombre-aleatorio].exe
• %system%\[nombre-aleatorio].dll
• %system%\e1.dll

También puede crear los siguientes archivos:

• %windows%\tserv.z
• %windows%\tserv.s
• %windows%\tserv.dat

Luego visualiza el siguiente mensaje:

Information

Update successfully installed.

[ OK ]

Nota:

- %windows%, representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT)

- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32).

Además crea las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"tserv"="%windows%\tserv.exe"

También crea la siguiente entrada en el registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

"AppInit_DLLs" = "[nombre-aleatorio].dll e1.dll"

Descarga y ejecuta archivos desde el siguiente sitio:

• http://www4.cedesunjerinkas.com/
• http://www3.cedesunjerinkas.com/

Finalmente el gusano sobrescribe el archivo HOSTS para poder bloquear el acceso a los siguientes sitios.

• 127.0.0.1 download.microsoft.com
• 127.0.0.1 go.microsoft.com
• 127.0.0.1 msdn.microsoft.com
• 127.0.0.1 office.microsoft.com
• 127.0.0.1 windowsupdate.microsoft.com
• 127.0.0.1 http://www.microsoft.com/downloads/Search.aspx?displaylang=en
• 127.0.0.1 avp.ru
• 127.0.0.1 www.avp.ru
• 127.0.0.1 http://avp.ru
• 127.0.0.1 http://www.avp.ru
• 127.0.0.1 kaspersky.ru
• 127.0.0.1 www.kaspersky.ru
• 127.0.0.1 http://kaspersky.ru
• 127.0.0.1 kaspersky.com
• 127.0.0.1 www.kaspersky.com
• 127.0.0.1 http://]kaspersky.com
• 127.0.0.1 kaspersky-labs.com
• 127.0.0.1 www.kaspersky-labs.com
• 127.0.0.1 http://kaspersky-labs.com
• 127.0.0.1 avp.ru/download/
• 127.0.0.1 www.avp.ru/download/
• 127.0.0.1 http://www.avp.ru/download/
• 127.0.0.1 http://www.kaspersky.ru/updates/
• 127.0.0.1 http://www.kaspersky-labs.com/updates/
• 127.0.0.1 http://kaspersky.ru/updates/
• 127.0.0.1 http://kaspersky-labs.com/updates/
• 127.0.0.1 downloads1.kaspersky-labs.com
• 127.0.0.1 downloads2.kaspersky-labs.com
• 127.0.0.1 downloads3.kaspersky-labs.com
• 127.0.0.1 downloads4.kaspersky-labs.com
• 127.0.0.1 downloads5.kaspersky-labs.com
• 127.0.0.1 http://downloads1.kaspersky-labs.com
• 127.0.0.1 http://downloads2.kaspersky-labs.com
• 127.0.0.1 http://downloads3.kaspersky-labs.com
• 127.0.0.1 http://downloads4.kaspersky-labs.com
• 127.0.0.1 http://downloads5.kaspersky-labs.com
• 127.0.0.1 downloads1.kaspersky-labs.com/products/
• 127.0.0.1 downloads2.kaspersky-labs.com/products/
• 127.0.0.1 downloads3.kaspersky-labs.com/products/
• 127.0.0.1 downloads4.kaspersky-labs.com/products/
• 127.0.0.1 downloads5.kaspersky-labs.com/products/
• 127.0.0.1 http://downloads1.kaspersky-labs.com/products/
• 127.0.0.1 http://downloads2.kaspersky-labs.com/products/
• 127.0.0.1 http://downloads3.kaspersky-labs.com/products/
• 127.0.0.1 http://downloads4.kaspersky-labs.com/products/
• 127.0.0.1 http://downloads5.kaspersky-labs.com/products/
• 127.0.0.1 downloads1.kaspersky-labs.com/updates/
• 127.0.0.1 downloads2.kaspersky-labs.com/updates/
• 127.0.0.1 downloads3.kaspersky-labs.com/updates/
• 127.0.0.1 downloads4.kaspersky-labs.com/updates/
• 127.0.0.1 downloads5.kaspersky-labs.com/updates/
• 127.0.0.1 http://downloads1.kaspersky-labs.com/updates/
• 127.0.0.1 http://downloads2.kaspersky-labs.com/updates/
• 127.0.0.1 http://downloads3.kaspersky-labs.com/updates/
• 127.0.0.1 http://downloads4.kaspersky-labs.com/updates/
• 127.0.0.1 http://downloads5.kaspersky-labs.com/updates/
• 127.0.0.1 ftp://downloads1.kaspersky-labs.com
• 127.0.0.1 ftp://downloads2.kaspersky-labs.com
• 127.0.0.1 ftp://downloads3.kaspersky-labs.com
• 127.0.0.1 ftp://downloads4.kaspersky-labs.com
• 127.0.0.1 ftp://downloads5.kaspersky-labs.com
• 127.0.0.1 ftp://downloads1.kaspersky-labs.com/products/
• 127.0.0.1 ftp://downloads2.kaspersky-labs.com/products/
• 127.0.0.1 ftp://downloads3.kaspersky-labs.com/products/
• 127.0.0.1 ftp://downloads4.kaspersky-labs.com/products/
• 127.0.0.1 ftp://downloads5.kaspersky-labs.com/products/
• 127.0.0.1 ftp://downloads1.kaspersky-labs.com/updates/
• 127.0.0.1 ftp://downloads2.kaspersky-labs.com/updates/
• 127.0.0.1 ftp://downloads3.kaspersky-labs.com/updates/
• 127.0.0.1 ftp://downloads4.kaspersky-labs.com/updates/
• 127.0.0.1 ftp://downloads5.kaspersky-labs.com/updates/
• 127.0.0.1 http://updates.kaspersky-labs.com/updates/
• 127.0.0.1 http://updates1.kaspersky-labs.com/updates/
• 127.0.0.1 http://updates2.kaspersky-labs.com/updates/
• 127.0.0.1 http://updates3.kaspersky-labs.com/updates/
• 127.0.0.1 http://updates4.kaspersky-labs.com/updates/
• 127.0.0.1 ftp://updates.kaspersky-labs.com/updates/
• 127.0.0.1 ftp://updates1.kaspersky-labs.com/updates/
• 127.0.0.1 ftp://updates2.kaspersky-labs.com/updates/
• 127.0.0.1 ftp://updates3.kaspersky-labs.com/updates/
• 127.0.0.1 ftp://updates4.kaspersky-labs.com/updates/
• 127.0.0.1 viruslist.com
• 127.0.0.1 www.viruslist.com
• 127.0.0.1 http://viruslist.com
• 127.0.0.1 viruslist.ru
• 127.0.0.1 www.viruslist.ru
• 127.0.0.1 http://viruslist.ru
• 127.0.0.1 ftp://ftp.kasperskylab.ru/updates/
• 127.0.0.1 symantec.com
• 127.0.0.1 www.symantec.com
• 127.0.0.1 http://symantec.com
• 127.0.0.1 customer.symantec.com
• 127.0.0.1 http://customer.symantec.com
• 127.0.0.1 liveupdate.symantec.com
• 127.0.0.1 http://liveupdate.symantec.com
• 127.0.0.1 liveupdate.symantecliveupdate.com
• 127.0.0.1 http://liveupdate.symantecliveupdate.com
• 127.0.0.1 securityresponse.symantec.com
• 127.0.0.1 http://securityresponse.symantec.com
• 127.0.0.1 service1.symantec.com
• 127.0.0.1 http://service1.symantec.com
• 127.0.0.1 symantec.com/updates
• 127.0.0.1 http://symantec.com/updates
• 127.0.0.1 updates.symantec.com
• 127.0.0.1 http://updates.symantec.com
• 127.0.0.1 eset.com/
• 127.0.0.1 www.eset.com/
• 127.0.0.1 http://www.eset.com/
• 127.0.0.1 eset.com/products/index.php
• 127.0.0.1 www.eset.com/products/index.php
• 127.0.0.1 http://www.eset.com/products/index.php
• 127.0.0.1 eset.com/download/index.php
• 127.0.0.1 www.eset.com/download/index.php
• 127.0.0.1 http://www.eset.com/download/index.php
• 127.0.0.1 eset.com/joomla/
• 127.0.0.1 www.eset.com/joomla/
• 127.0.0.1 http://www.eset.com/joomla/
• 127.0.0.1 u3.eset.com/
• 127.0.0.1 http://u3.eset.com/
• 127.0.0.1 u4.eset.com/
• 127.0.0.1 http://u4.eset.com/
• 127.0.0.1 www.symantec.com/updates

Derechos reservados 1992/2006 HackSoft S.R.L. Lima-Perú