Worm/Nugache.1 - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm/Nugache.1
発見日：	02/05/2006
タイプ	ワーム
感染報告有り	はい
感染報告	低～中
感染の可能性	高
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	177.152 バイト
MD5　チェックサム	74600E5bc19538a3b6a0b4086f4e0053
VDFファージョン：	6.34.01.27 - Tue, 02 May 2006 08:23 (GMT+1)

重要な情報 • 分析はまだ終了していません。結果の詳細については後でもう一度チェックしなおしてください。

一般情報 感染方法
   • Eメール
   • ローカル・ネットワーク
   • メッセンジャー

別名
   • Symantec(シマンテック) W32.Nugache.A@mm
   • McAfee(マカフィー) W32/Nugache@MM
   • Kaspersky(カスペルスキー) Email-Worm.Win32.Nugache.a
   • TrendMicro(トレンドマイクロ） WORM_NUGACHE.A
   • ビットディフェンダー(Bitdefender)： Backdoor.SDBot.BCE

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • それ自身のメール・エンジンを利用します。
   • 文字入力を記録します。
   • レジストリの改変。
   • ソフトの脆弱性を利用します。
   • 情報を盗みます。
   • サード・パーティ・コントロール

ファイルそれ自体を以下の場所にコピーします。
• %SYSDIR%\mstc.exe

以下のファイルが作成されます：

– %home%\Application Data\FNTCACHE.BIN このファイルは入力されたキーについて収集された情報を含みます。

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Domain Controller = %SYSDIR%\mstc.exe

以下のレジストリ・キーが追加されます：

– [HKCU\Software\GNU\Data\%IP アドレス%]
   • S = %hex 数字%
   • F = %hex 数字%
   • P = %hex 数字%
   • L = %hex値%

Eメールそれはメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです：

宛先:
– ウインドウズ・アドレス帳(WAB)を使って集められたメールアドレス

送信 アドレスは無視します：
以下の文字列を含むアドレスにはメールは送られません：
• bmaste; ccoun; secur; spam; uppor; inux; buse; .gov; .mil; dmin;
ource; upda; indow; icrosof; gnu; bug; wab; Unknown

メッセンジャーメッセンジャーを通して感染します。その特徴は以下の通りです：

– AIMメッセンジャー

ネットワーク感染 エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します：
– MS04-007 (ASN .1 の脆弱性により、コードが実行される)
– MS04-011 (LSASSの脆弱性)

バックドア以下のポートが開かれます：

– mtsc.exe TCPポートに 8 バックドアを開くため

サーバに接続します。
以下のもの：
   • 24.217.137.**********:8
   • 68.110.80.**********:8
   • 65.30.81.**********:8
   • 72.129.129.**********:8
   • 68.198.41.**********:8
   • 64.13.113.**********:8
   • 69.113.158.**********:8
   • 69.141.98.**********:8
   • 67.177.114.**********:8
   • 24.165.115.**********:8
   • 71.224.113.**********:8
   • 69.234.207.**********:8
   • 69.165.59.**********:8
   • 24.58.101.**********:8
   • 65.189.204.**********:8
   • 24.206.248.**********:8
   • 216.174.161.**********:8
   • 69.133.103.**********:8
   • 67.149.59.**********:8
   • 68.118.224.**********:8
   • 68.46.202.**********:8
   • 70.132.132.**********:8
   • 69.113.3.**********:8
   • 128.211.221.**********:8

接続した後他のサーバ名の表を回収します。結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。

以下についての情報を送ります：
    • 作成されたログファイル

リモート・コントロール機能
    • 追加のリモート・コントロール機能が生まれるようにIRCサーバと接続します。
    • ダウンロード・ファイル
    • DDoS攻撃を実行する
    • メールを送る
    • スパムに関係のある
    • ファイルをアップロードする
    • ウェブサイトを訪問します。

その他 Mutex(ミューテック)
以下のMutex(ミューテック）を作成します：
• d3kb5sujs50lq2mr

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

簡単な説明はココにあります。.

この説明は Andrei Gherman によって Tue, 02 May 2006 09:43 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Tue, 09 May 2006 16:39 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back