Stration

STRATION, gusano de Correo MultiSPAM ejecuta el Notepad con texto "basura" congestiona tráfico en Internet, etc.

W32/Stration@mm

Stration es un gusano reportado el 19 de Agosto del 2006, de alta propagación masiva a través de mensajes de Correo con Remitente disfrazado bajo la técnica Spoofing, Asuntos, Contenidos y archivos Anexados con una o dos extensiones elegidos en forma aleatoria de una relación contenida dentro del código del virus.

Tiene las características de MultiSPAM, debido a su envío veloz y masivo de mensajes de correo.

Ejecuta la Libreta de Notas de Windows, libera un archivo de texto "basura" en la carpeta temporal de Windows, ocasiona un ataque DoS a una determinada dirección URL.

Si bien este gusano no tiene efectos destructivos congestiona el tráfico de Internet entre las zonas donde se propague.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003, está desarrollado en Assembler con una extensión de 90.6KB y comprimido con rutinas propias.

A través de su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a las direcciones de correo contenidas en la Libreta de Direcciones de Windows (WAB) haciendo referencia a la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\WAB\WAB4\nombre_de_archivo_WAB]

También busca los buzones de correo y los de dominios web ubicados en los archivos temporales de Internet Explorer que tengan las siguientes extensiones:

Remitente: emplea la técnica Spoofing, para disfrazar las verdaderas direcciones de los Remitentes.

Asunto, uno de los siguientes:

[en_blanco]
[aleatorio]
Error
Good day
hello
Mail Delivery System
Server Report
Status

Contenido, uno de los siguientes:

Mail transaction failed. Partial message is available.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
The message contains Unicode characters and has been sent as a binary attachment.

Anexado, cualquiera de los siguientes:

[aleatorio]
body
data
doc
document
file
readme
text

con una de las siguientes extensiones:

Estos archivos pueden tener hasta dos extensiones. En este caso, la primera es una de las siguientes, seguida de varios espacios en blanco:

La segunda extensión o en le caso que el archivo Anexado tenga una sola extensión es una de las siguientes:

El icono que representa al archivo Anexado simula ser uno de formato texto:

Al activarse se auto-copia el directorio %Windir% con el nombre de Svchost32.exe y para ejecutarse la próxima vez que se re-inicie el sistema y crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Svhost32" = "%Windir%\svhost32.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

La próxima vez que se inicie el equipo el gusano libera un archivo de texto con caracteres "basura" en la carpeta temporal y ejecuta la Libreta de Notas Notepad.exe con dicho contenido:

Si bien este gusano no tiene efectos destructivos congestiona el tráfico de Internet entre las zonas donde se propaga.

PER ANTIVIRUS® versión 9.8 con registro de virus al 19 de Agosto del 2006 detecta y elimina este gusano.