Nume:Worm/Nugache.1
Descoperit pe data de:02/05/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Ridicat
Potential de distrugere:Mediu
Fisier static:Da
Marime:177.152 Bytes
MD5:74600E5bc19538a3b6a0b4086f4e0053
Versiune VDF:6.34.01.27

 Important! • Analiza este in curs de desfasurare. Va rugam reveniti pentru mai multe detalii.
 General Metode de raspandire:
   • Email
   • Reteaua locala
   • Messenger


Alias:
   •  Symantec: W32.Nugache.A@mm
   •  Mcafee: W32/Nugache@MM
   •  Kaspersky: Email-Worm.Win32.Nugache.a
   •  TrendMicro: WORM_NUGACHE.A
   •  Bitdefender: Backdoor.SDBot.BCE


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Utilizeaza propriul motor de email
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer


 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\mstc.exe



Este creat fisierul:

– %APPDATA%\FNTCACHE.BIN Acest fisier stocheaza datele introduse de utilizator la tastatura.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Domain Controller = %SYSDIR%\mstc.exe



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCU\Software\GNU\Data\%adresa IP%]
   • S = %numar hexazecimal%
   • F = %numar hexazecimal%
   • P = %numar hexazecimal%
   • L = %valori hex%

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


Catre:
– Adrese de email obtinute din WAB (Windows Address Book)

 Email Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • bmaste; ccoun; secur; spam; uppor; inux; buse; .gov; .mil; dmin;
      ource; upda; indow; icrosof; gnu; bug; wab; Unknown

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– AIM Messenger

 Reţea Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

 Backdoor Deschide portul

– mtsc.exe pe portul TCP 8 pentru a oferi functionalitate de backdoor.


Servere contactate:
Urmatoarele:
   • 24.217.137.**********:8
   • 68.110.80.**********:8
   • 65.30.81.**********:8
   • 72.129.129.**********:8
   • 68.198.41.**********:8
   • 64.13.113.**********:8
   • 69.113.158.**********:8
   • 69.141.98.**********:8
   • 67.177.114.**********:8
   • 24.165.115.**********:8
   • 71.224.113.**********:8
   • 69.234.207.**********:8
   • 69.165.59.**********:8
   • 24.58.101.**********:8
   • 65.189.204.**********:8
   • 24.206.248.**********:8
   • 216.174.161.**********:8
   • 69.133.103.**********:8
   • 67.149.59.**********:8
   • 68.118.224.**********:8
   • 68.46.202.**********:8
   • 70.132.132.**********:8
   • 69.113.3.**********:8
   • 128.211.221.**********:8

Odata conectat, descarca o alta lista de servere.
Astfel se pot transmite informatii si se poate obtine control la distanta.

Trimte informatii despre:
    • Loguri create


Posibilitati de control la distanta:
    • Se conecteaza la un server IRC pentru a obtine controlul la distanta.
    • descarcare fisier
    • executare atac DDoS
    • trimitere email-uri
    • legat de Spam
    • Face upload la un fisier
    • Vizitarea unui website

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • d3kb5sujs50lq2mr

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Andrei Gherman on Tuesday, May 2, 2006
Description updated by Andrei Gherman on Tuesday, May 9, 2006

Back . . . .