Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Nugache.1
Scoperto:02/05/2006
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:177.152 Byte
Somma di controllo MD5:74600E5bc19538a3b6a0b4086f4e0053
Versione VDF:6.34.01.27

 Informazioni importanti • La descrizione per questo virus ancora in lavorazione. Per maggiori dettagli si prega di riprovare pi avanti.
 Generale Metodi di propagazione:
   • Email
   • Rete locale
    Messenger


Alias:
   •  Symantec: W32.Nugache.A@mm
   •  Mcafee: W32/Nugache@MM
   •  Kaspersky: Email-Worm.Win32.Nugache.a
   •  TrendMicro: WORM_NUGACHE.A
   •  Bitdefender: Backdoor.SDBot.BCE


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Registra le battute di tastiera
   • Modifica del registro
   • Sfrutta la vulnerabilit del software
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi


 File Si copia alla seguente posizione:
   • %SYSDIR%\mstc.exe



Viene creato il seguente file:

%APPDATA%\FNTCACHE.BIN Questo file contiene le battute di tastiera recuperate.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Domain Controller = %SYSDIR%\mstc.exe



Vengono aggiunte le seguenti chiavi di registro:

[HKCU\Software\GNU\Data\%indirizzo IP%]
   • S = %numero esadecimale%
   • F = %numero esadecimale%
   • P = %numero esadecimale%
   • L = %valori esadecimali%

 Email Contiene un motore SMTP integrato per inviare le email. Verr stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


A:
 Indirizzi email raccolti da WAB (Windows Address Book)

 Invio di messaggi Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • bmaste; ccoun; secur; spam; uppor; inux; buse; .gov; .mil; dmin;
      ource; upda; indow; icrosof; gnu; bug; wab; Unknown

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

 AIM Messenger

 Infezione della rete Exploit:
Sfrutta le seguenti vulnerabilit:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

 Backdoor Viene aperta la seguente porta:

mtsc.exe sulla porta TCP 8 con lo scopo di procurarsi delle possibili backdoor.


Contatta il server:
Tutti i seguenti:
   • 24.217.137.**********:8
   • 68.110.80.**********:8
   • 65.30.81.**********:8
   • 72.129.129.**********:8
   • 68.198.41.**********:8
   • 64.13.113.**********:8
   • 69.113.158.**********:8
   • 69.141.98.**********:8
   • 67.177.114.**********:8
   • 24.165.115.**********:8
   • 71.224.113.**********:8
   • 69.234.207.**********:8
   • 69.165.59.**********:8
   • 24.58.101.**********:8
   • 65.189.204.**********:8
   • 24.206.248.**********:8
   • 216.174.161.**********:8
   • 69.133.103.**********:8
   • 67.149.59.**********:8
   • 68.118.224.**********:8
   • 68.46.202.**********:8
   • 70.132.132.**********:8
   • 69.113.3.**********:8
   • 128.211.221.**********:8

Una volta connesso recupera una lista di server supplementare.
Come risultato pu inviare informazioni e potrebbe venire fornito il controllo remoto.

Invia informazioni riguardanti:
     File LOG creati


Capacit di controllo remoto:
     Si connette ad un server IRC per acquisire controllo remoto supplementare.
     Download di file
     Eseguire un attacco DdoS
     Inviare email
     Riferito allo spam
     Carica un file
     Visitare un sito web

 Varie Mutex:
Crea il seguente Mutex:
   • d3kb5sujs50lq2mr

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Gherman su martedì 2 maggio 2006
Descrizione aggiornata da Andrei Gherman su martedì 9 maggio 2006

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.