English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Nugache.1
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Nugache.1 - Worm
Ver também
Sumário
Descrição completa
Estatísticas
How would you rate this information?
Worthless
Excellent
Vírus
Worm/Nugache.1
Data em que surgiu:
02/05/2006
Tipo:
Worm
Incluído na lista "In The Wild"
Sim
Nível de danos:
De baixo a médio
Nível de distribuição:
Alto
Nível de risco:
Médio
Ficheiro estático:
Sim
Tamanho:
177.152 Bytes
MD5 checksum:
74600E5bc19538a3b6a0b4086f4e0053
Versão VDF:
6.34.01.27
Informação importante
• Análise incompleta. Por favor volte mais tarde para verificar mais detalhes.
Vulgarmente
Meios de transmissão:
• E-mail
• Rede local
• Messenger
Alias:
• Symantec: W32.Nugache.A@mm
• Mcafee: W32/Nugache@MM
• Kaspersky: Email-Worm.Win32.Nugache.a
• TrendMicro: WORM_NUGACHE.A
• Bitdefender: Backdoor.SDBot.BCE
Sistemas Operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Efeitos secundários:
• Utiliza o seu próprio motor de E-mail
• Guarda as teclas digitadas
• Altera o registo do Windows
• Aproveita-se de vulnerabilidades do software
• Informação de roubos
• Possibilita acesso não autorizado ao computador
Ficheiros
Autocopia-se para a seguinte localização:
•
%SYSDIR%
\mstc.exe
É criado o seguinte ficheiro:
–
%home%
\Application Data\FNTCACHE.BIN O ficheiro contém informação das teclas pressionadas.
Registry (Registo do Windows)
É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Microsoft Domain Controller =
%SYSDIR%
\mstc.exe
São adicionadas as seguintes chaves ao registo:
– [HKCU\Software\GNU\Data\
%endereço IP%
]
• S =
%número hexadecimal%
• F =
%número hexadecimal%
• P =
%número hexadecimal%
• L =
%valores hex%
E-mail
Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:
Para:
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
Mailing
Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
• bmaste; ccoun; secur; spam; uppor; inux; buse; .gov; .mil; dmin;
ource; upda; indow; icrosof; gnu; bug; wab; Unknown
Messenger
Propaga-se através do Messenger. Tem as seguintes características:
– AIM Messenger
Infecção da rede
Exploit:
Faz uso dos seguintes Exploits:
–
MS04-007
(ASN.1 Vulnerability)
–
MS04-011
(LSASS Vulnerability)
Backdoor
É aberta a seguinte porta:
– mtsc.exe numa porta TCP 8 Por forma a fornecer capacidades backdoor.
Contacta o servidor:
Seguintes:
• 24.217.137.**********:8
• 68.110.80.**********:8
• 65.30.81.**********:8
• 72.129.129.**********:8
• 68.198.41.**********:8
• 64.13.113.**********:8
• 69.113.158.**********:8
• 69.141.98.**********:8
• 67.177.114.**********:8
• 24.165.115.**********:8
• 71.224.113.**********:8
• 69.234.207.**********:8
• 69.165.59.**********:8
• 24.58.101.**********:8
• 65.189.204.**********:8
• 24.206.248.**********:8
• 216.174.161.**********:8
• 69.133.103.**********:8
• 67.149.59.**********:8
• 68.118.224.**********:8
• 68.46.202.**********:8
• 70.132.132.**********:8
• 69.113.3.**********:8
• 128.211.221.**********:8
Once connected it will retrieve an additional list (pt)
Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto.
Envia informação sobre:
• Logfiles criados
Capacidades de controlo remoto:
• Connect to an IRC server to provide additional rem (pt)
• Download de ficheiros
• Ataque de Negação de Serviços (ataque DoS)
• Envia emails
• Relacionado com SPAM
• Upload de ficheiros
• Visita um Web site
Informações diversas
Mutex:
Cria o seguinte Mutex:
• d3kb5sujs50lq2mr
Detalhes do ficheiro
Linguagem de programação:
Ficheiro escrito em MS Visual C++.
Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.
Veja
aqui
uma breve descrição.
Descrição adicionada por Andrei Gherman em Tue, 02 May 2006 09:43 (GMT+1)
Descrição adicionada por Andrei Gherman em Tue, 09 May 2006 16:39 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Bagle.FJ
W32/Elkern.C
Worm/Mytob.DH
Worm/Mytob.CR
Worm/Netsky.D.Dam
TR/Dldr.Agent.aizj
JS/Dldr.Small.CR.2
TR/Dldr.Agent.XAE
JS/Dldr.Agent.bbt
HTML/IFrame.800
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/Nugache.1
Print this page
.gif)
