VírusWorm/Mocbot.A
Data em que surgiu:17/03/2006
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:7.846 Bytes
MD5 checksum:996c9c3a01c9567915212332fe5c1264
Versão VDF:6.34.00.64

 Vulgarmente Meio de transmissão:
   • Rede local


Alias:
   •  Mcafee: IRC-Mocbot
   •  Kaspersky: Backdoor.Win32.Mocbot.a
   •  TrendMicro: WORM_MOCBOT.A
   •  Sophos: W32/Cuebot-G
   •  Bitdefender: Backdoor.Mocbot.A

Identificado anteriormente como:
   •  BDS/Mocbot.A


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\wudpcom.exe



Apaga a cópia executada inicialmente.

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\wudpcom
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\wudpcom.exe
   • "DisplayName"="Windows UDP Communication"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valores hex%
   • "Description"="Provides communication between clients and servers over UDP. If this service is stopped, UDP communication between clients and servers on the network will be impaired. If this service is disabled, any services that explicitly depend on it will fail to st"



Altera as seguintes chaves de registo do Windows:

– HKLM\SOFTWARE\Microsoft\Ole
   Valor anterior:
   • "EnableDCOM"=%definições do utilizador %
   Valor recente:
   • "EnableDCOM"="n"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Valor anterior:
   • "restrictanonymous"=%definições do utilizador %
   Valor recente:
   • "restrictanonymous"=dword:00000001

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Exploit:
Faz uso do seguinte Exploit:
– MS05-039 (Vulnerability in Plug and Play)

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: bbjj.house**********
Porta: 18067
Canal #p7
Nickname: p7-%oito caracteres aleatórios%
Palavra-chave nsja5rqf

Servidor: ypgw.wall**********
Porta: 18067
Canal #p7
Nickname: p7-%oito caracteres aleatórios%
Palavra-chave nsja5rqf


– Para além disso tem a capacidade de executar as seguintes acções:
    • Lança DDoS SYN floods
    • Lança DDoS TCP floods
    • Lança DDoS UDP floods
    • Download de ficheiros
    • Executa o ficheiro
    • Inicia a rotina de propagação

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • wudpcom

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • MEW

Descrição enviada por Irina Boldea em segunda-feira, 27 de fevereiro de 2006
Descrição atualizada por Irina Boldea em segunda-feira, 20 de março de 2006

Voltar . . . .