W32/Stration.DH

W32/Stration.DH

Nombre:	W32/Stration.DH Alias: W32.Stration.DH@mm
Tipo:	Gusano
Tamaño:	24,580 Bytes
Origen:	Internet
Destructivo:	NO
En la calle (in the wild):	SI
Detección y eliminación:	The Hacker 6.0 al 27/10/2006.

Descripción:

W32/Stration.DH, es un gusano que se difunde a través de envió masivo de e-mail, busca direcciones de e-mail dentro de archivos con las siguientes extensiones .adb, .asp, .cfg, .cgi, .dbx, .dhtm, .eml, .htm, .html, .jsp, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .sht, .shtm, .stm, .tbb, .txt, .uin, .wab, .wsh, .xls y .xml para luego enviarse a si mismo a todas las direcciones encontradas.

Características del Mensaje de E-mail:

Asunto: [Variable uno de los siguientes]

Good Day
Server Report
picture
Status
hello
Error
Mail Delivery System
Mail Transaction Failed
Mail Server Report

Cuerpo: [Variable uno de los siguientes]

The message contains Unicode characters and has been sentas a binary attachment.
Mail transaction failed. Partial message is available.
The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment.

Mail server report. Our firewall determined the e-mails containing worm copies are being sent from your computer. Nowadays it happens from many computers, because this is a new virus type (Network Worms). Using the new bug in the Windows, these viruses infect the computer unnoticeably. After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses. Please install updates for worm elimination and your computer restoring.
Best regards,

Customers support service

-------------------------------

Archivo Adjunto: [Variable uno de los siguientes nombres, seguido de dobles extensiones]

body
data
docs
doc
document
file
message
readme
test
text
Update-KB[número aleatorio]-x86

- Primera extensión, puede ser una de las siguientes (.log, .elm, .msg, .txt o .dat)

- Segunda extensión, seguido por espacios en blanco y por una de las siguientes extensiones (.bat, .cmd, .scr, .exe y .pif)

----------------------------

Cuando el gusano se ejecuta visualiza el siguiente mensaje:

Information

Update successfully installed.

[ OK ]

Seguidamente se copia a si mismo con todos sus componentes dentro de:

%windows%\mswiiz32.exe
%windows%\mswiiz32.wax
%windows%\mswiiz32.dat
%system%\e1.dll

Nota:

- %windows% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT)

- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32 ).

Además crea las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"mswiiz32"="%windows%\mswiiz32.exe s "

También modifica la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs"="e1.dll"

Luego modifica las siguientes entradas para cambiar las configuraciones del Internet Explorer.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
"ProxyBypass"="1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
"IntranetNames"="1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
"UNCAIntranet"="1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
"MigrateProxy"="1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
"ProxyEnable"="1"

Finalmente descarga y ejecuta archivos desde sitios Web remotos.