Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Nugache.1
Data em que surgiu:02/05/2006
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:Alto
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:177.152 Bytes
MD5 checksum:74600E5bc19538a3b6a0b4086f4e0053
Verso VDF:6.34.01.27

 Informao importante • Anlise incompleta. Por favor volte mais tarde para verificar mais detalhes.
 Vulgarmente Meios de transmisso:
   • E-mail
   • Rede local
    Messenger


Alias:
   •  Symantec: W32.Nugache.A@mm
   •  Mcafee: W32/Nugache@MM
   •  Kaspersky: Email-Worm.Win32.Nugache.a
   •  TrendMicro: WORM_NUGACHE.A
   •  Bitdefender: Backdoor.SDBot.BCE


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Utiliza o seu prprio motor de E-mail
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Informao de roubos
   • Possibilita acesso no autorizado ao computador


 Ficheiros Autocopia-se para a seguinte localizao:
   • %SYSDIR%\mstc.exe



criado o seguinte ficheiro:

%APPDATA%\FNTCACHE.BIN O ficheiro contm informao das teclas pressionadas.

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Domain Controller = %SYSDIR%\mstc.exe



So adicionadas as seguintes chaves ao registo:

[HKCU\Software\GNU\Data\%endereo IP%]
   • S = %nmero hexadecimal%
   • F = %nmero hexadecimal%
   • P = %nmero hexadecimal%
   • L = %valores hex%

 E-mail Tem um motor SMTP integrado para enviar emails. criada uma ligao directa com o servidor de destino. Tem as seguintes caractersticas:


Para:
 Endereos de e-mail recolhidos do WAB (Windows Address Book).

 Mailing Endereos evitados:
No envia emails para endereos com os seguintes blocos de texto:
   • bmaste; ccoun; secur; spam; uppor; inux; buse; .gov; .mil; dmin;
      ource; upda; indow; icrosof; gnu; bug; wab; Unknown

 Messenger Propaga-se atravs do Messenger. Tem as seguintes caractersticas:

 AIM Messenger

 Infeco da rede  Exploit:
Faz uso dos seguintes Exploits:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

 Backdoor  aberta a seguinte porta:

mtsc.exe numa porta TCP 8 Por forma a fornecer capacidades backdoor.


Contacta o servidor:
Seguintes:
   • 24.217.137.**********:8
   • 68.110.80.**********:8
   • 65.30.81.**********:8
   • 72.129.129.**********:8
   • 68.198.41.**********:8
   • 64.13.113.**********:8
   • 69.113.158.**********:8
   • 69.141.98.**********:8
   • 67.177.114.**********:8
   • 24.165.115.**********:8
   • 71.224.113.**********:8
   • 69.234.207.**********:8
   • 69.165.59.**********:8
   • 24.58.101.**********:8
   • 65.189.204.**********:8
   • 24.206.248.**********:8
   • 216.174.161.**********:8
   • 69.133.103.**********:8
   • 67.149.59.**********:8
   • 68.118.224.**********:8
   • 68.46.202.**********:8
   • 70.132.132.**********:8
   • 69.113.3.**********:8
   • 128.211.221.**********:8

Depois de ligado obtm uma lista adicional de servidores.
Como resultado pode enviar informao poderiam e dar capacidade de controlo remoto.

Envia informao sobre:
     Logfiles criados


Capacidades de controlo remoto:
     Liga a um servidor IRC para obter controlo remoto adicional.
     Download de ficheiros
     Ataque de Negao de Servios (ataque DoS)
     Envia emails
     Relacionado com SPAM
     Upload de ficheiros
     Visita um Web site

 Informaes diversas Mutex:
Cria o seguinte Mutex:
   • d3kb5sujs50lq2mr

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Andrei Gherman em terça-feira, 2 de maio de 2006
Descrição atualizada por Andrei Gherman em terça-feira, 9 de maio de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.