Nume:Worm/Nugache.1
Descoperit pe data de:02/05/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Ridicat
Potential de distrugere:Mediu
Fisier static:Da
Marime:177.152 Bytes
MD5:74600E5bc19538a3b6a0b4086f4e0053
Versiune VDF:6.34.01.27

 Important! • Analiza este in curs de desfasurare. Va rugam reveniti pentru mai multe detalii.
 General Metode de raspandire:
   • Email
   • Reteaua locala
   • Messenger


Alias:
   •  Symantec: W32.Nugache.A@mm
   •  Mcafee: W32/Nugache@MM
   •  Kaspersky: Email-Worm.Win32.Nugache.a
   •  TrendMicro: WORM_NUGACHE.A
   •  Bitdefender: Backdoor.SDBot.BCE


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Utilizeaza propriul motor de email
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer


 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\mstc.exe



Este creat fisierul:

– %APPDATA%\FNTCACHE.BIN Acest fisier stocheaza datele introduse de utilizator la tastatura.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Domain Controller = %SYSDIR%\mstc.exe



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCU\Software\GNU\Data\%adresa IP%]
   • S = %numar hexazecimal%
   • F = %numar hexazecimal%
   • P = %numar hexazecimal%
   • L = %valori hex%

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


Catre:
– Adrese de email obtinute din WAB (Windows Address Book)

 Email Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • bmaste; ccoun; secur; spam; uppor; inux; buse; .gov; .mil; dmin;
      ource; upda; indow; icrosof; gnu; bug; wab; Unknown

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– AIM Messenger

 Reţea Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

 Backdoor Deschide portul

– mtsc.exe pe portul TCP 8 pentru a oferi functionalitate de backdoor.


Servere contactate:
Urmatoarele:
   • 24.217.137.**********:8
   • 68.110.80.**********:8
   • 65.30.81.**********:8
   • 72.129.129.**********:8
   • 68.198.41.**********:8
   • 64.13.113.**********:8
   • 69.113.158.**********:8
   • 69.141.98.**********:8
   • 67.177.114.**********:8
   • 24.165.115.**********:8
   • 71.224.113.**********:8
   • 69.234.207.**********:8
   • 69.165.59.**********:8
   • 24.58.101.**********:8
   • 65.189.204.**********:8
   • 24.206.248.**********:8
   • 216.174.161.**********:8
   • 69.133.103.**********:8
   • 67.149.59.**********:8
   • 68.118.224.**********:8
   • 68.46.202.**********:8
   • 70.132.132.**********:8
   • 69.113.3.**********:8
   • 128.211.221.**********:8

Odata conectat, descarca o alta lista de servere.
Astfel se pot transmite informatii si se poate obtine control la distanta.

Trimte informatii despre:
    • Loguri create


Posibilitati de control la distanta:
    • Se conecteaza la un server IRC pentru a obtine controlul la distanta.
    • descarcare fisier
    • executare atac DDoS
    • trimitere email-uri
    • legat de Spam
    • Face upload la un fisier
    • Vizitarea unui website

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • d3kb5sujs50lq2mr

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Andrei Gherman em terça-feira, 2 de maio de 2006
Descrição atualizada por Andrei Gherman em terça-feira, 9 de maio de 2006

Voltar . . . .