Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Mocbot.A
Data em que surgiu:17/03/2006
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:Mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:7.846 Bytes
MD5 checksum:996c9c3a01c9567915212332fe5c1264
Verso VDF:6.34.00.64

 Vulgarmente Meio de transmisso:
   • Rede local


Alias:
   •  Mcafee: IRC-Mocbot
   •  Kaspersky: Backdoor.Win32.Mocbot.a
   •  TrendMicro: WORM_MOCBOT.A
   •  Sophos: W32/Cuebot-G
   •  Bitdefender: Backdoor.Mocbot.A

Identificado anteriormente como:
     BDS/Mocbot.A


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software

 Ficheiros Autocopia-se para a seguinte localizao:
   • %SYSDIR%\wudpcom.exe



Apaga a cpia executada inicialmente.

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o servio ao iniciar o sistema:

HKLM\SYSTEM\CurrentControlSet\Services\wudpcom
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\wudpcom.exe
   • "DisplayName"="Windows UDP Communication"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valores hex%
   • "Description"="Provides communication between clients and servers over UDP. If this service is stopped, UDP communication between clients and servers on the network will be impaired. If this service is disabled, any services that explicitly depend on it will fail to st"



Altera as seguintes chaves de registo do Windows:

HKLM\SOFTWARE\Microsoft\Ole
   Valor anterior:
   • "EnableDCOM"=%definies do utilizador %
   Valor recente:
   • "EnableDCOM"="n"

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Valor anterior:
   • "restrictanonymous"=%definies do utilizador %
   Valor recente:
   • "restrictanonymous"=dword:00000001

 Infeco da rede  Para assegurar a sua propagao o malware tenta ligar-se a outras mquinas como descrito abaixo.


Exploit:
Faz uso do seguinte Exploit:
– MS05-039 (Vulnerability in Plug and Play)

 IRC Para enviar informao do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: bbjj.house**********
Porta: 18067
Canal #p7
Nickname: p7-%oito caracteres aleatrios%
Palavra-chave nsja5rqf

Servidor: ypgw.wall**********
Porta: 18067
Canal #p7
Nickname: p7-%oito caracteres aleatrios%
Palavra-chave nsja5rqf


 Para alm disso tem a capacidade de executar as seguintes aces:
     Lana DDoS SYN floods
    • Lana DDoS TCP floods
     Lana DDoS UDP floods
    • Download de ficheiros
    • Executa o ficheiro
     Inicia a rotina de propagao

 Informaes diversas Mutex:
Cria o seguinte Mutex:
   • wudpcom

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com o seguinte empacotador de runtime:
   • MEW

Descrição enviada por Irina Boldea em segunda-feira, 27 de fevereiro de 2006
Descrição atualizada por Irina Boldea em segunda-feira, 20 de março de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.