VírusWorm/Nugache.1
Data em que surgiu:02/05/2006
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Alto
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:177.152 Bytes
MD5 checksum:74600E5bc19538a3b6a0b4086f4e0053
Versão VDF:6.34.01.27

 Informação importante • Análise incompleta. Por favor volte mais tarde para verificar mais detalhes.
 Vulgarmente Meios de transmissão:
   • E-mail
   • Rede local
   • Messenger


Alias:
   •  Symantec: W32.Nugache.A@mm
   •  Mcafee: W32/Nugache@MM
   •  Kaspersky: Email-Worm.Win32.Nugache.a
   •  TrendMicro: WORM_NUGACHE.A
   •  Bitdefender: Backdoor.SDBot.BCE


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Utiliza o seu próprio motor de E-mail
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador


 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\mstc.exe



É criado o seguinte ficheiro:

– %APPDATA%\FNTCACHE.BIN O ficheiro contém informação das teclas pressionadas.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Domain Controller = %SYSDIR%\mstc.exe



São adicionadas as seguintes chaves ao registo:

– [HKCU\Software\GNU\Data\%endereço IP%]
   • S = %número hexadecimal%
   • F = %número hexadecimal%
   • P = %número hexadecimal%
   • L = %valores hex%

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


Para:
– Endereços de e-mail recolhidos do WAB (Windows Address Book).

 Mailing Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • bmaste; ccoun; secur; spam; uppor; inux; buse; .gov; .mil; dmin;
      ource; upda; indow; icrosof; gnu; bug; wab; Unknown

 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– AIM Messenger

 Infecção da rede  Exploit:
Faz uso dos seguintes Exploits:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

 Backdoor É aberta a seguinte porta:

– mtsc.exe numa porta TCP 8 Por forma a fornecer capacidades backdoor.


Contacta o servidor:
Seguintes:
   • 24.217.137.**********:8
   • 68.110.80.**********:8
   • 65.30.81.**********:8
   • 72.129.129.**********:8
   • 68.198.41.**********:8
   • 64.13.113.**********:8
   • 69.113.158.**********:8
   • 69.141.98.**********:8
   • 67.177.114.**********:8
   • 24.165.115.**********:8
   • 71.224.113.**********:8
   • 69.234.207.**********:8
   • 69.165.59.**********:8
   • 24.58.101.**********:8
   • 65.189.204.**********:8
   • 24.206.248.**********:8
   • 216.174.161.**********:8
   • 69.133.103.**********:8
   • 67.149.59.**********:8
   • 68.118.224.**********:8
   • 68.46.202.**********:8
   • 70.132.132.**********:8
   • 69.113.3.**********:8
   • 128.211.221.**********:8

Depois de ligado obtém uma lista adicional de servidores.
Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto.

Envia informação sobre:
    • Logfiles criados


Capacidades de controlo remoto:
    • Liga a um servidor IRC para obter controlo remoto adicional.
    • Download de ficheiros
    • Ataque de Negação de Serviços (ataque DoS)
    • Envia emails
    • Relacionado com SPAM
    • Upload de ficheiros
    • Visita um Web site

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • d3kb5sujs50lq2mr

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Andrei Gherman em terça-feira, 2 de maio de 2006
Descrição atualizada por Andrei Gherman em terça-feira, 9 de maio de 2006

Voltar . . . .