Worm/Nugache.1 - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/Nugache.1
Descubierto:	02/05/2006
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Medio-bajo
Potencial de propagación:	Alto
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	177.152 Bytes
Suma de control MD5:	74600E5bc19538a3b6a0b4086f4e0053
Versión del VDF:	6.34.01.27

Información importante • Análisis en progreso. Le rogamos que vuelva para más detalles.

General Métodos de propagación:
   • Correo electrónico
   • Red local
   • Messenger

Alias:
   • Symantec: W32.Nugache.A@mm
   • Mcafee: W32/Nugache@MM
   • Kaspersky: Email-Worm.Win32.Nugache.a
   • TrendMicro: WORM_NUGACHE.A
   • Bitdefender: Backdoor.SDBot.BCE

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\mstc.exe

Crea el siguiente fichero:

– %home%\Application Data\FNTCACHE.BIN En este fichero se registran las pulsaciones de teclado.

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Domain Controller = %SYSDIR%\mstc.exe

Añade las siguientes claves al registro:

– [HKCU\Software\GNU\Data\%dirección IP%]
   • S = %número hexadecimal%
   • F = %número hexadecimal%
   • P = %número hexadecimal%
   • L = %valores hex%

Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:

Para:
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)

Envio de mensajes Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
• bmaste; ccoun; secur; spam; uppor; inux; buse; .gov; .mil; dmin;
ource; upda; indow; icrosof; gnu; bug; wab; Unknown

Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– AIM Messenger

Infección en la red Exploit:
Emplea las siguientes brechas de seguridad:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

Backdoor (Puerta trasera) Abre el siguiente puerto:

– mtsc.exe en el puerto TCP 8 para proporcionar capabilidades de backdoor.

Servidor contactado:
Las siguientes:
   • 24.217.137.**********:8
   • 68.110.80.**********:8
   • 65.30.81.**********:8
   • 72.129.129.**********:8
   • 68.198.41.**********:8
   • 64.13.113.**********:8
   • 69.113.158.**********:8
   • 69.141.98.**********:8
   • 67.177.114.**********:8
   • 24.165.115.**********:8
   • 71.224.113.**********:8
   • 69.234.207.**********:8
   • 69.165.59.**********:8
   • 24.58.101.**********:8
   • 65.189.204.**********:8
   • 24.206.248.**********:8
   • 216.174.161.**********:8
   • 69.133.103.**********:8
   • 67.149.59.**********:8
   • 68.118.224.**********:8
   • 68.46.202.**********:8
   • 70.132.132.**********:8
   • 69.113.3.**********:8
   • 128.211.221.**********:8

Una vez contectado, extraerá una lista suplementaria.
De esta forma, puede enviar informaciones y obtener el control remoto.

Envía informaciones acerca de:
    • Ficheros de informe creados

Capabilidades de control remoto:
    • Conectar con un servidor IRC para establecer control remoto adicional.
    • Descargar fichero
    • Ejecutar ataque DDoS
    • Enviar mensajes de correo
    • relacionado al spam
    • Cargar fichero en Internet
    • Visitar un sitio web

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• d3kb5sujs50lq2mr

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Tue, 02 May 2006 09:43 (GMT+1)
Descripción actualizada por Andrei Gherman el Tue, 09 May 2006 16:39 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver