Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Mocbot.A
La date de la dcouverte:17/03/2006
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:7.846 Octets
Somme de contrle MD5:996c9c3a01c9567915212332fe5c1264
Version VDF:6.34.00.64

 Gnral Mthode de propagation:
   • Le rseau local


Les alias:
   •  Mcafee: IRC-Mocbot
   •  Kaspersky: Backdoor.Win32.Mocbot.a
   •  TrendMicro: WORM_MOCBOT.A
   •  Sophos: W32/Cuebot-G
   •  Bitdefender: Backdoor.Mocbot.A

Avant, il tait dtect comme:
     BDS/Mocbot.A


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il emploie les vulnrabilits de software

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\wudpcom.exe



Il supprime sa propre copie, excute initialement

 Registre Les cls de registre suivantes sont ajoutes afin de charger le service aprs le redmarrage:

HKLM\SYSTEM\CurrentControlSet\Services\wudpcom
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\wudpcom.exe
   • "DisplayName"="Windows UDP Communication"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valeurs hexa%
   • "Description"="Provides communication between clients and servers over UDP. If this service is stopped, UDP communication between clients and servers on the network will be impaired. If this service is disabled, any services that explicitly depend on it will fail to st"



Les cls de registre suivantes sont changes:

HKLM\SOFTWARE\Microsoft\Ole
   L'ancienne valeur:
   • "EnableDCOM"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "EnableDCOM"="n"

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   L'ancienne valeur:
   • "restrictanonymous"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "restrictanonymous"=dword:00000001

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.


La vulnrabilit:
Il se sert de la vulnrabilit suivante:
– MS05-039 (Vulnerability in Plug and Play)

 IRC Afin de fournir des informations sur le systme et d'accs distance, il se connecte aux serveurs IRC suivants:

Serveur: bbjj.house**********
Port: 18067
Canal: #p7
Pseudonyme: p7-%chane de caractres alatoire de huit digits%
Mot de passe: nsja5rqf

Serveur: ypgw.wall**********
Port: 18067
Canal: #p7
Pseudonyme: p7-%chane de caractres alatoire de huit digits%
Mot de passe: nsja5rqf


 Ensuite il a la capacit d'oprer des actions tel que:
     Lancer des attaques DDoS SYN
    • Lance des attaques DDoS TCP
     Lance des attaques DDoS UDP
    • Tlcharger un fichier
    • Excuter un fichier
     Dmarrer une routine de propagation

 Informations divers Mutex:
Il cre le Mutex suivant:
   • wudpcom

 Dtails de fichier Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • MEW

Description insérée par Irina Boldea le lundi 27 février 2006
Description mise à jour par Irina Boldea le lundi 20 mars 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.