Nombre:Worm/Nugache.1
Descubierto:02/05/2006
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Alto
Potencial dañino:Medio
Fichero estático:
Tamaño:177.152 Bytes
Suma de control MD5:74600E5bc19538a3b6a0b4086f4e0053
Versión del VDF:6.34.01.27

 Información importante • Análisis en progreso. Le rogamos que vuelva para más detalles.
 General Métodos de propagación:
   • Correo electrónico
   • Red local
   • Messenger


Alias:
   •  Symantec: W32.Nugache.A@mm
   •  Mcafee: W32/Nugache@MM
   •  Kaspersky: Email-Worm.Win32.Nugache.a
   •  TrendMicro: WORM_NUGACHE.A
   •  Bitdefender: Backdoor.SDBot.BCE


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador


 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\mstc.exe



Crea el siguiente fichero:

– %APPDATA%\FNTCACHE.BIN En este fichero se registran las pulsaciones de teclado.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Domain Controller = %SYSDIR%\mstc.exe



Añade las siguientes claves al registro:

– [HKCU\Software\GNU\Data\%dirección IP%]
   • S = %número hexadecimal%
   • F = %número hexadecimal%
   • P = %número hexadecimal%
   • L = %valores hex%

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


Para:
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)

 Envio de mensajes Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • bmaste; ccoun; secur; spam; uppor; inux; buse; .gov; .mil; dmin;
      ource; upda; indow; icrosof; gnu; bug; wab; Unknown

 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– AIM Messenger

 Infección en la red Exploit:
Emplea las siguientes brechas de seguridad:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

 Backdoor (Puerta trasera) Abre el siguiente puerto:

– mtsc.exe en el puerto TCP 8 para proporcionar capabilidades de backdoor.


Servidor contactado:
Las siguientes:
   • 24.217.137.**********:8
   • 68.110.80.**********:8
   • 65.30.81.**********:8
   • 72.129.129.**********:8
   • 68.198.41.**********:8
   • 64.13.113.**********:8
   • 69.113.158.**********:8
   • 69.141.98.**********:8
   • 67.177.114.**********:8
   • 24.165.115.**********:8
   • 71.224.113.**********:8
   • 69.234.207.**********:8
   • 69.165.59.**********:8
   • 24.58.101.**********:8
   • 65.189.204.**********:8
   • 24.206.248.**********:8
   • 216.174.161.**********:8
   • 69.133.103.**********:8
   • 67.149.59.**********:8
   • 68.118.224.**********:8
   • 68.46.202.**********:8
   • 70.132.132.**********:8
   • 69.113.3.**********:8
   • 128.211.221.**********:8

Una vez contectado, extraerá una lista suplementaria.
De esta forma, puede enviar informaciones y obtener el control remoto.

Envía informaciones acerca de:
    • Ficheros de informe creados


Capabilidades de control remoto:
    • Conectar con un servidor IRC para establecer control remoto adicional.
    • Descargar fichero
    • Ejecutar ataque DDoS
    • Enviar mensajes de correo
    • relacionado al spam
    • Cargar fichero en Internet
    • Visitar un sitio web

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • d3kb5sujs50lq2mr

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Andrei Gherman el martes 2 de mayo de 2006
Descripción actualizada por Andrei Gherman el martes 9 de mayo de 2006

Volver . . . .