NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Nuevo gusano polimórfico de correo electrónico



 Nombre de virus: W32/Stration@MM
Alias conocidos: Email-Worm.Win32.Warezov.a, WORM_STRATION.A
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: por correo electrónico.
Activación: Por ejecución de fichero adjunto
Detección: desde DATS 4856
Motor necesario: desde 4.4.00
Infección actual: Inicial (Inicial, Media, Elevada)


W32/Stration@MM es un gusano mass-mailing que se envía a direcciones de correo electrónico recopiladas del equipo infectado. Al igual que otros gusanos de correo, utiliza su propio motor SMTP para realizar el envío masivo de correos. Está escrito en Microsoft Visual C++ y también contiene una funcionalidad para conectar a un servidor web remoto para descargar un fichero.


Características
Al ejecutarse, abre el bloc de notas y visualiza un fichero de texto con caracteres aleatorios:
 


Crea una copia de sí mismo en el directorio Windows:

%Windir%\svchost32.exe


Se marca a sí mismo para ser borrado en el siguiente inicio de Windows, por medio de la siguiente clave de registro:
 

HKEY_LOCAL_MACHINE\System\ControlSet\Control\Session Manager
 

"PendingFileRenameOperations" = "%Windir%\svchost32.exe"

Síntomas
W32/Stration@MM crea múltiples copias de sí mismo, utilizando nombres de fichero con doble extensión, en la carpeta temporal del usuario.

Ejemplo: %Userprofile%\Local Settings\Temp\document.txt                         .cmd
 

Nota: El gusano inserta múltiples espacios en blanco entre las dos extensiones de fichero.
 

Utiliza las siguientes combinaciones de nombre de fichero y extensión:
 

Nombre de fichero:
body
data
doc
docs
document
file
message
readme
test
text


Primera extensión:
.dat
.elm
.log
.msg
.txt


Segunda extensión:
.bat
.cmd
.exe
.pif
.scr



Componente Downloader :

W32/Stration@MM intenta conectar a la siguiente url para descargar un fichero:

Método de Infección


Propagación por correo electrónico:
Construye un mensaje con Ias siguientes características


Remitente: [falseado]


Asunto: (Cualquiera de los siguientes)


Error
Good Day
Mail Delivery System
Mail Transaction Failed
Server Report
Status
hello
picture
test


Cuerpo de Mensaje: (Cualquiera de los siguientes)


Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sentas a binary attachment.
The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment


Adjunto: (Cualquiera de los siguientes)


- Nombre de fichero:


body
data
doc
docs
document
file
message
readme
test
text

- Primera Extensión:


.dat
.elm
.log
.msg
.txt


- Segunda Extensión:


.bat
.cmd
.exe
.pif
.scr


Nota: El gusano inserta múltiples espacios en blanco entre las dos extensiones de fichero.

 

Detección y eliminación

El gusano w32/Stration@MM se controla desde los DAT 4856 . Para su eliminación se recomienda ejecutar nuestra utilidad ELISTRAT (no confundir con ELISTARA).



SATINFO, VIRUSCAN SPAIN SERVICE 21 de Septiembre de 2006
 

Anterior