Nom:Worm/Nugache.1
La date de la découverte:02/05/2006
Type:Ver
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Élevé
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:177.152 Octets
Somme de contrôle MD5:74600E5bc19538a3b6a0b4086f4e0053
Version VDF:6.34.01.27

 Information importante • L'écriture de cette analyse est actuellement en marche. Veuillez vérifier plus tard pour plus de détails
 Général Méthodes de propagation:
   • Email
   • Le réseau local
   • Programme de messagerie


Les alias:
   •  Symantec: W32.Nugache.A@mm
   •  Mcafee: W32/Nugache@MM
   •  Kaspersky: Email-Worm.Win32.Nugache.a
   •  TrendMicro: WORM_NUGACHE.A
   •  Bitdefender: Backdoor.SDBot.BCE


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\mstc.exe



Le fichier suivant est créé:

– %APPDATA%\FNTCACHE.BIN Ce fichier contient des frappes de touche collectés.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Domain Controller = %SYSDIR%\mstc.exe



Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\GNU\Data\%Adresse IP%]
   • S = %numéro hexadécimal%
   • F = %numéro hexadécimal%
   • P = %numéro hexadécimal%
   • L = %valeurs hexa%

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


A:
– les adresses d'email recueillies du WAB (Windows Address Book)

 Envoie de messages Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • bmaste; ccoun; secur; spam; uppor; inux; buse; .gov; .mil; dmin;
      ource; upda; indow; icrosof; gnu; bug; wab; Unknown

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– AIM Messenger

 Infection du réseau La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

 Porte dérobée Le port suivant est ouvert:

– mtsc.exe sur le port TCP 8 afin de fournir de capacités de porte dérobée


Serveur de contact:
Tous les suivants:
   • 24.217.137.**********:8
   • 68.110.80.**********:8
   • 65.30.81.**********:8
   • 72.129.129.**********:8
   • 68.198.41.**********:8
   • 64.13.113.**********:8
   • 69.113.158.**********:8
   • 69.141.98.**********:8
   • 67.177.114.**********:8
   • 24.165.115.**********:8
   • 71.224.113.**********:8
   • 69.234.207.**********:8
   • 69.165.59.**********:8
   • 24.58.101.**********:8
   • 65.189.204.**********:8
   • 24.206.248.**********:8
   • 216.174.161.**********:8
   • 69.133.103.**********:8
   • 67.149.59.**********:8
   • 68.118.224.**********:8
   • 68.46.202.**********:8
   • 70.132.132.**********:8
   • 69.113.3.**********:8
   • 128.211.221.**********:8

Aussi tôt que la connexion est établi, une liste complémentaire avec des Server se trouve.
En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Il envoie de l'information au sujet de:
    • Crée de fichiers de journalisation.


Capacités d'accès à distance:
    • Etablir une connexion pour le IRC Server lequel rend le contrôle á distance possible.
    • Télécharger un fichier
    • Opérer un attaque DDoS
    • Envoyer des e-mails
    • Relié au Spam
    • Charger un fichier
    • Visiter un site web

 Informations divers Mutex:
Il crée le Mutex suivant:
   • d3kb5sujs50lq2mr

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Gherman le mardi 2 mai 2006
Description mise à jour par Andrei Gherman le mardi 9 mai 2006

Retour . . . .