Worm/Nugache.1 - Worm

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Nugache.1
Entdeckt am:	02/05/2006
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig bis mittel
Verbreitungspotenzial:	Hoch
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	177.152 Bytes
MD5 Prüfsumme:	74600E5bc19538a3b6a0b4086f4e0053
VDF Version:	6.34.01.27

Wichtige Information • Diese Virenbeschreibung befindet sich gerade in Arbeit. Bitte schauen Sie zu einem späteren Zeitpunkt noch einmal vorbei.

General Verbreitungsmethoden:
   • Email
   • Lokales Netzwerk
   • Messenger

Aliases:
   • Symantec: W32.Nugache.A@mm
   • Mcafee: W32/Nugache@MM
   • Kaspersky: Email-Worm.Win32.Nugache.a
   • TrendMicro: WORM_NUGACHE.A
   • Bitdefender: Backdoor.SDBot.BCE

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Verfügt über eigene Email Engine
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\mstc.exe

Es wird folgende Datei erstellt:

– %home%\Application Data\FNTCACHE.BIN Diese Datei enthält gesammelte Tastatureingaben.

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Domain Controller = %SYSDIR%\mstc.exe

Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\GNU\Data\%IP Addresse%]
   • S = %Hexadezimale Zahl%
   • F = %Hexadezimale Zahl%
   • P = %Hexadezimale Zahl%
   • L = %Hex Werte%

Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:

An:
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)

Versand Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
• bmaste; ccoun; secur; spam; uppor; inux; buse; .gov; .mil; dmin;
ource; upda; indow; icrosof; gnu; bug; wab; Unknown

Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– AIM Messenger

Infektion über das Netzwerk Exploit:
Folgende Sicherheitslücken werden ausgenutzt:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

Hintertür Der folgende Port wird geöffnet:

– mtsc.exe am TCP Port 8 um Backdoor Funktion zur Verfügung zu stellen.

Kontaktiert Server:
Alle der folgenden:
   • 24.217.137.**********:8
   • 68.110.80.**********:8
   • 65.30.81.**********:8
   • 72.129.129.**********:8
   • 68.198.41.**********:8
   • 64.13.113.**********:8
   • 69.113.158.**********:8
   • 69.141.98.**********:8
   • 67.177.114.**********:8
   • 24.165.115.**********:8
   • 71.224.113.**********:8
   • 69.234.207.**********:8
   • 69.165.59.**********:8
   • 24.58.101.**********:8
   • 65.189.204.**********:8
   • 24.206.248.**********:8
   • 216.174.161.**********:8
   • 69.133.103.**********:8
   • 67.149.59.**********:8
   • 68.118.224.**********:8
   • 68.46.202.**********:8
   • 70.132.132.**********:8
   • 69.113.3.**********:8
   • 128.211.221.**********:8

Sobald die Verbindung hergestellt ist wird eine weitere Liste mit Servern abgerufen.
Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Sende Informationen über:
    • Erstellte Protokolldatei

Möglichkeiten der Fernkontrolle:
    • Verbindung zu einem IRC server herstellen welcher zusätzliche Fernkontrolle ermöglicht.
    • Datei herunterladen
    • DDoS Attacke durchführen
    • Emails verschicken
    • Spam bezogen
    • Datei Hinaufladen
    • Besuch einer Webseite

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• d3kb5sujs50lq2mr

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Andrei Gherman am Tue, 02 May 2006 09:43 (GMT+1)
Beschreibung geändert von Andrei Gherman am Tue, 09 May 2006 16:39 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück