Threat Encyclopedia

Selected viruses, spyware, and other threats: sorted alphabetically

Installation and Autostart Technique

Upon execution Win32/Scano.U is copied into the %windir% folder as “csrss.exe“. The worm adds the following keys to the registry in order to run on every system start:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\

„Debugger“ = „%windir%\csrss.exe“

 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

„Application“ = „%windir%\csrss.exe“

 

E-mail Addresses Harvesting

E-mail addresses for further spreading are searched for in local files with one of the following extensions:

 

.adb

.asp

.cfg

.cgi

.dbx

.dhtm

.dhtml

.eml

.htm

.html

.jsp

.mbx

.mdx

.mht

.mmf

.mra

.msg

.nch

.ods

.oft

.php

.pl

.sht

.shtm

.stm

.tbb

.txt

.uin

.wab

.wsh

.xls

.xml

 

Addresses containing one of the following strings are avoided:

 

---

-0

..

.00

.gif

.qmail

@.

@avp.

@example.

@foo

@iana

@messagelab

@microsoft

@subscribe

0000

2003

2004

2005

2006

abuse

admin

anyone@

bsd

bugs@

cafee

certific

contract@

f-secur

feste

free-av

gold-certs@

google

help@

microsoft

info@

kasp

linux

listserv

local

Mailer-Daemon@

news

nobody@

noone@

noreply

ntivi

panda

pgp

postmaster@

rating@

root@

samples

sopho

spam

spm111@

support

torvalds@

unix

update

winrar

winzip

E-mail Subject

 

Text of the e-mail sent by Win32/Scano.U is in Russian. The subject is chosen from the list below:

 

Приветик, как твои делишки ?

Привет, ты где?

Привет, напиши мне!!!

Привет! Срочно напиши мне!

Привет! Я сегодня жду тебя в сети!

Сегодня в интернете будешь?

Когда мне напишишь?

Re: напиши мне!

Re: Позвони мне!

Re: Ты где?

Re: Когда ты мне ответишь?

Приветик!!! Как настроение?

Re: Как настроение?

Re: Где пропадаешь?

 

E-mail Body

 

Body of the e-mail contains one of the following:

 

Привет! Давно от тебя никаких новостей не слышно что-то... Ты где вообще пропадаешь? Я тут файл приложил, давно хотел отправить но всё забывал. Там всё просто, откроешь сразу разберешься. Удачи!!!

Привет, в интернете появился новый вирус, высылаю тебе заплатку... Установи пока ещё твой компьютер не заразился. Пока! Напиши мне!

Приветик, как у тебя дела? Ты сегодня в интернет зайдешь? Напиши мне в аську, окей? Кстати, держи программку, она теперь работает! Пользуйся, я прикрепил её к письму.... Покеда!

Привет! Я завтра к тебе приеду, ок? Ты во сколько будешь дома? Помнишь ты просил программу, я её прикрепила к письму, очень полезная, пользуйся. Пока.....

Привет, вот куда ты всё время пропадаешь??? Как только будешь в интернете напиши мне!!! Кстати программу которую ты просил, я вложил в письмо.... пока!

Привет! Ты сегодня мне позвонишь???? Я уже не могу ждать! Пока думаешь посмотри програмку которую тебе прислала, ну как? правда здорово?

 

E-mail Attachements

 

Attachment of the message contains a ZIP archive. There is an executable file of the worm with .EXE extension inside. Names of both the archive and the file inside are picked from the list below:

 

Archive

backup

confidential

COOL

Document

File

Fotos

images

Important

Message

New

Passwords

private

README

Readme

secret

your_documents

 

Other Information

The worm tries to download several files from three different locations. It might be able to update itself this way.

 

Note: In the text, %WINDOWS% denotes Windows directory (e.g. C:\WINDOWS) and %SYSTEM% denotes Windows System directory (e.g. C:\WINDOWS\SYSTEM32) as they differ on various versions of Microsoft Windows.