Nume:Worm/Mocbot.A
Descoperit pe data de:17/03/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:7.846 Bytes
MD5:996c9c3a01c9567915212332fe5c1264
Versiune VDF:6.34.00.64

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Mcafee: IRC-Mocbot
   •  Kaspersky: Backdoor.Win32.Mocbot.a
   •  TrendMicro: WORM_MOCBOT.A
   •  Sophos: W32/Cuebot-G
   •  Bitdefender: Backdoor.Mocbot.A

Initial identificat ca:
   •  BDS/Mocbot.A


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Profita de vulnerabilitatile softului

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\wudpcom.exe



Sterge copia initiala a virusului.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– HKLM\SYSTEM\CurrentControlSet\Services\wudpcom
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\wudpcom.exe
   • "DisplayName"="Windows UDP Communication"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valori hex%
   • "Description"="Provides communication between clients and servers over UDP. If this service is stopped, UDP communication between clients and servers on the network will be impaired. If this service is disabled, any services that explicitly depend on it will fail to st"



Urmatoarele chei din registri sunt modificate:

– HKLM\SOFTWARE\Microsoft\Ole
   Vechea valoare:
   • "EnableDCOM"=%setarile utilizatorului%
   Noua valoare:
   • "EnableDCOM"="n"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Vechea valoare:
   • "restrictanonymous"=%setarile utilizatorului%
   Noua valoare:
   • "restrictanonymous"=dword:00000001

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Exploit:
Foloseste urmatoarea vulnerabilitate:
– MS05-039 (Vulnerability in Plug and Play)

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: bbjj.house**********
Port: 18067
Canal: #p7
Nick: p7-%sir de 8 caractere aleatoare%
Parola: nsja5rqf

Server: ypgw.wall**********
Port: 18067
Canal: #p7
Nick: p7-%sir de 8 caractere aleatoare%
Parola: nsja5rqf


– In plus, poate efectua urmatoarele operatii:
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS TCP
    • Lanseaza atacuri DDoS UDP
    • descarcare fisier
    • executarea unui fisier
    • Porneste rutina de raspandire

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • wudpcom

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • MEW

Descrizione inserita da Irina Boldea su lunedì 27 febbraio 2006
Descrizione aggiornata da Irina Boldea su lunedì 20 marzo 2006

Indietro . . . .