Worm/Nugache.1 - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/Nugache.1
La date de la découverte:	02/05/2006
Type:	Ver
En circulation:	Oui
Infections signalées	Faible a moyen
Potentiel de distribution:	Élevé
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	177.152 Octets
Somme de contrôle MD5:	74600E5bc19538a3b6a0b4086f4e0053
Version VDF:	6.34.01.27

Information importante • L'écriture de cette analyse est actuellement en marche. Veuillez vérifier plus tard pour plus de détails

Général Méthodes de propagation:
   • Email
   • Le réseau local
   • Programme de messagerie

Les alias:
   • Symantec: W32.Nugache.A@mm
   • Mcafee: W32/Nugache@MM
   • Kaspersky: Email-Worm.Win32.Nugache.a
   • TrendMicro: WORM_NUGACHE.A
   • Bitdefender: Backdoor.SDBot.BCE

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\mstc.exe

Le fichier suivant est créé:

– %home%\Application Data\FNTCACHE.BIN Ce fichier contient des frappes de touche collectés.

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Domain Controller = %SYSDIR%\mstc.exe

Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\GNU\Data\%Adresse IP%]
   • S = %numéro hexadécimal%
   • F = %numéro hexadécimal%
   • P = %numéro hexadécimal%
   • L = %valeurs hexa%

Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:

A:
– les adresses d'email recueillies du WAB (Windows Address Book)

Envoie de messages Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
• bmaste; ccoun; secur; spam; uppor; inux; buse; .gov; .mil; dmin;
ource; upda; indow; icrosof; gnu; bug; wab; Unknown

Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– AIM Messenger

Infection du réseau La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

Porte dérobée Le port suivant est ouvert:

– mtsc.exe sur le port TCP 8 afin de fournir de capacités de porte dérobée

Serveur de contact:
Tous les suivants:
   • 24.217.137.**********:8
   • 68.110.80.**********:8
   • 65.30.81.**********:8
   • 72.129.129.**********:8
   • 68.198.41.**********:8
   • 64.13.113.**********:8
   • 69.113.158.**********:8
   • 69.141.98.**********:8
   • 67.177.114.**********:8
   • 24.165.115.**********:8
   • 71.224.113.**********:8
   • 69.234.207.**********:8
   • 69.165.59.**********:8
   • 24.58.101.**********:8
   • 65.189.204.**********:8
   • 24.206.248.**********:8
   • 216.174.161.**********:8
   • 69.133.103.**********:8
   • 67.149.59.**********:8
   • 68.118.224.**********:8
   • 68.46.202.**********:8
   • 70.132.132.**********:8
   • 69.113.3.**********:8
   • 128.211.221.**********:8

Aussi tôt que la connexion est établi, une liste complémentaire avec des Server se trouve.
En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Il envoie de l'information au sujet de:
    • Crée de fichiers de journalisation.

Capacités d'accès à distance:
    • Etablir une connexion pour le IRC Server lequel rend le contrôle á distance possible.
    • Télécharger un fichier
    • Opérer un attaque DDoS
    • Envoyer des e-mails
    • Relié au Spam
    • Charger un fichier
    • Visiter un site web

Informations divers Mutex:
Il crée le Mutex suivant:
• d3kb5sujs50lq2mr

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Voir la description brève ici.

Description inséré par Andrei Gherman sur Tue, 02 May 2006 09:43 (GMT+1)
Description mise à jour par Andrei Gherman sur Tue, 09 May 2006 16:39 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back