Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Nugache.1
La date de la dcouverte:02/05/2006
Type:Ver
En circulation:Oui
Infections signales Faible a moyen
Potentiel de distribution:lev
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:177.152 Octets
Somme de contrle MD5:74600E5bc19538a3b6a0b4086f4e0053
Version VDF:6.34.01.27

 Information importante • L'criture de cette analyse est actuellement en marche. Veuillez vrifier plus tard pour plus de dtails
 Gnral Mthodes de propagation:
   • Email
   • Le rseau local
    Programme de messagerie


Les alias:
   •  Symantec: W32.Nugache.A@mm
   •  Mcafee: W32/Nugache@MM
   •  Kaspersky: Email-Worm.Win32.Nugache.a
   •  TrendMicro: WORM_NUGACHE.A
   •  Bitdefender: Backdoor.SDBot.BCE


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il emploie son propre moteur de courrier lectronique
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il emploie les vulnrabilits de software
   • Il vole de l'information
   • Il facilite l'accs non autoris l'ordinateur


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\mstc.exe



Le fichier suivant est cr:

%APPDATA%\FNTCACHE.BIN Ce fichier contient des frappes de touche collects.

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Domain Controller = %SYSDIR%\mstc.exe



Les cls de registre suivantes sont ajoute:

[HKCU\Software\GNU\Data\%Adresse IP%]
   • S = %numro hexadcimal%
   • F = %numro hexadcimal%
   • P = %numro hexadcimal%
   • L = %valeurs hexa%

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


A:
 les adresses d'email recueillies du WAB (Windows Address Book)

 Envoie de messages viter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chanes de caractres suivantes:
   • bmaste; ccoun; secur; spam; uppor; inux; buse; .gov; .mil; dmin;
      ource; upda; indow; icrosof; gnu; bug; wab; Unknown

 Programme de messagerie Il se rpand par l'intermdiaire du programme de messagerie. Les caractristiques sont dcrites ci-dessous:

 AIM Messenger

 Infection du rseau La vulnrabilit:
Il se sert des vulnrabilits suivantes:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

 Porte drobe Le port suivant est ouvert:

mtsc.exe sur le port TCP 8 afin de fournir de capacits de porte drobe


Serveur de contact:
Tous les suivants:
   • 24.217.137.**********:8
   • 68.110.80.**********:8
   • 65.30.81.**********:8
   • 72.129.129.**********:8
   • 68.198.41.**********:8
   • 64.13.113.**********:8
   • 69.113.158.**********:8
   • 69.141.98.**********:8
   • 67.177.114.**********:8
   • 24.165.115.**********:8
   • 71.224.113.**********:8
   • 69.234.207.**********:8
   • 69.165.59.**********:8
   • 24.58.101.**********:8
   • 65.189.204.**********:8
   • 24.206.248.**********:8
   • 216.174.161.**********:8
   • 69.133.103.**********:8
   • 67.149.59.**********:8
   • 68.118.224.**********:8
   • 68.46.202.**********:8
   • 70.132.132.**********:8
   • 69.113.3.**********:8
   • 128.211.221.**********:8

Aussi tt que la connexion est tabli, une liste complmentaire avec des Server se trouve.
En consquence il peut envoyer de l'information et fournir d'accs distance.

Il envoie de l'information au sujet de:
     Cre de fichiers de journalisation.


Capacits d'accs distance:
     Etablir une connexion pour le IRC Server lequel rend le contrle distance possible.
     Tlcharger un fichier
     Oprer un attaque DDoS
     Envoyer des e-mails
     Reli au Spam
     Charger un fichier
     Visiter un site web

 Informations divers Mutex:
Il cre le Mutex suivant:
   • d3kb5sujs50lq2mr

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Andrei Gherman le mardi 2 mai 2006
Description mise à jour par Andrei Gherman le mardi 9 mai 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.