Nom:Worm/Mocbot.A
La date de la découverte:17/03/2006
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:7.846 Octets
Somme de contrôle MD5:996c9c3a01c9567915212332fe5c1264
Version VDF:6.34.00.64

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Mcafee: IRC-Mocbot
   •  Kaspersky: Backdoor.Win32.Mocbot.a
   •  TrendMicro: WORM_MOCBOT.A
   •  Sophos: W32/Cuebot-G
   •  Bitdefender: Backdoor.Mocbot.A

Avant, il était détecté comme:
   •  BDS/Mocbot.A


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il emploie les vulnérabilités de software

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\wudpcom.exe



Il supprime sa propre copie, exécutée initialement

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\wudpcom
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\wudpcom.exe
   • "DisplayName"="Windows UDP Communication"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valeurs hexa%
   • "Description"="Provides communication between clients and servers over UDP. If this service is stopped, UDP communication between clients and servers on the network will be impaired. If this service is disabled, any services that explicitly depend on it will fail to st"



Les clés de registre suivantes sont changées:

– HKLM\SOFTWARE\Microsoft\Ole
   L'ancienne valeur:
   • "EnableDCOM"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableDCOM"="n"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   L'ancienne valeur:
   • "restrictanonymous"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "restrictanonymous"=dword:00000001

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS05-039 (Vulnerability in Plug and Play)

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: bbjj.house**********
Port: 18067
Canal: #p7
Pseudonyme: p7-%chaîne de caractères aléatoire de huit digits%
Mot de passe: nsja5rqf

Serveur: ypgw.wall**********
Port: 18067
Canal: #p7
Pseudonyme: p7-%chaîne de caractères aléatoire de huit digits%
Mot de passe: nsja5rqf


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS TCP
    • Lance des attaques DDoS UDP
    • Télécharger un fichier
    • Exécuter un fichier
    • Démarrer une routine de propagation

 Informations divers Mutex:
Il crée le Mutex suivant:
   • wudpcom

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • MEW

Description insérée par Irina Boldea le lundi 27 février 2006
Description mise à jour par Irina Boldea le lundi 20 mars 2006

Retour . . . .