Worm/Nugache.1 - Worm

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	Worm/Nugache.1
Scoperto:	02/05/2006
Tipo:	Worm
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Medio-Basso
Potenziale di propagazione:	Alto
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	177.152 Byte
Somma di controllo MD5:	74600E5bc19538a3b6a0b4086f4e0053
Versione VDF:	6.34.01.27

Informazioni importanti • La descrizione per questo virus è ancora in lavorazione. Per maggiori dettagli si prega di riprovare più avanti.

Generale Metodi di propagazione:
   • Email
   • Rete locale
   • Messenger

Alias:
   • Symantec: W32.Nugache.A@mm
   • Mcafee: W32/Nugache@MM
   • Kaspersky: Email-Worm.Win32.Nugache.a
   • TrendMicro: WORM_NUGACHE.A
   • Bitdefender: Backdoor.SDBot.BCE

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Registra le battute di tastiera
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

File Si copia alla seguente posizione:
• %SYSDIR%\mstc.exe

Viene creato il seguente file:

– %home%\Application Data\FNTCACHE.BIN Questo file contiene le battute di tastiera recuperate.

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Domain Controller = %SYSDIR%\mstc.exe

Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\GNU\Data\%indirizzo IP%]
   • S = %numero esadecimale%
   • F = %numero esadecimale%
   • P = %numero esadecimale%
   • L = %valori esadecimali%

Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:

A:
– Indirizzi email raccolti da WAB (Windows Address Book)

Invio di messaggi Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
• bmaste; ccoun; secur; spam; uppor; inux; buse; .gov; .mil; dmin;
ource; upda; indow; icrosof; gnu; bug; wab; Unknown

Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– AIM Messenger

“Infezione” della rete Exploit:
Sfrutta le seguenti vulnerabilità:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

Backdoor Viene aperta la seguente porta:

– mtsc.exe sulla porta TCP 8 con lo scopo di procurarsi delle possibili backdoor.

Contatta il server:
Tutti i seguenti:
   • 24.217.137.**********:8
   • 68.110.80.**********:8
   • 65.30.81.**********:8
   • 72.129.129.**********:8
   • 68.198.41.**********:8
   • 64.13.113.**********:8
   • 69.113.158.**********:8
   • 69.141.98.**********:8
   • 67.177.114.**********:8
   • 24.165.115.**********:8
   • 71.224.113.**********:8
   • 69.234.207.**********:8
   • 69.165.59.**********:8
   • 24.58.101.**********:8
   • 65.189.204.**********:8
   • 24.206.248.**********:8
   • 216.174.161.**********:8
   • 69.133.103.**********:8
   • 67.149.59.**********:8
   • 68.118.224.**********:8
   • 68.46.202.**********:8
   • 70.132.132.**********:8
   • 69.113.3.**********:8
   • 128.211.221.**********:8

Una volta connesso recupera una lista di server supplementare.
Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

Invia informazioni riguardanti:
    • File LOG creati

Capacità di controllo remoto:
    • Si connette ad un server IRC per acquisire controllo remoto supplementare.
    • Download di file
    • Eseguire un attacco DdoS
    • Inviare email
    • Riferito allo spam
    • Carica un file
    • Visitare un sito web

Varie Mutex:
Crea il seguente Mutex:
• d3kb5sujs50lq2mr

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Andrei Gherman il Tue, 02 May 2006 09:43 (GMT+1)
Descrizione aggiornata da Andrei Gherman il Tue, 09 May 2006 16:39 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back