Имя:Worm/Nugache.1
Обнаружен:02/05/2006
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Высокий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:177.152 байт.
Контрольная сумма MD5:74600E5bc19538a3b6a0b4086f4e0053
Версия VDF:6.34.01.27

 Важная информация • Описание данного вируса находится в процессе подготовки. Повторите Ваш запрос позже.
 Общее Методы распространения:
   • Email
   • Локальная сеть
   • Messenger


Псевдонимы (аliases):
   •  Symantec: W32.Nugache.A@mm
   •  Mcafee: W32/Nugache@MM
   •  Kaspersky: Email-Worm.Win32.Nugache.a
   •  TrendMicro: WORM_NUGACHE.A
   •  Bitdefender: Backdoor.SDBot.BCE


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Использует собственный почтовый движок
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Использует уязвимость ПО
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру


 Файлы Создается собственная копия:
   • %SYSDIR%\mstc.exe



Создается файл:

– %APPDATA%\FNTCACHE.BIN Файл содержит строки введенных с клавиатуры символов

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Domain Controller = %SYSDIR%\mstc.exe



Добавляются следующие ключи реестра:

– [HKCU\Software\GNU\Data\%IP адрес%]
   • S = %Шестнадцатиричное число%
   • F = %Шестнадцатиричное число%
   • P = %Шестнадцатиричное число%
   • L = %шестнадцатиричное значение%

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


Кому:
– Полученные из WAB (адресная книга Windows) адреса электронной почты

 Отправка Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • bmaste; ccoun; secur; spam; uppor; inux; buse; .gov; .mil; dmin;
      ource; upda; indow; icrosof; gnu; bug; wab; Unknown

 Messenger Распространяется с помощью программы Messenger. Основные характеристики:

– AIM Messenger

 Сетевое инфицирование Эксплойт:
Используются следующие бреши в безопасности:
– MS04-007 (Уязвимость ASN.1)
– MS04-011 (Уязвимость LSASS)

 Backdoor Открывается порт:

– mtsc.exe по TCP порту 8 для обеспечения backdoor функции.


Устанавливает соединение с сервером
Все последующие:
   • 24.217.137.**********:8
   • 68.110.80.**********:8
   • 65.30.81.**********:8
   • 72.129.129.**********:8
   • 68.198.41.**********:8
   • 64.13.113.**********:8
   • 69.113.158.**********:8
   • 69.141.98.**********:8
   • 67.177.114.**********:8
   • 24.165.115.**********:8
   • 71.224.113.**********:8
   • 69.234.207.**********:8
   • 69.165.59.**********:8
   • 24.58.101.**********:8
   • 65.189.204.**********:8
   • 24.206.248.**********:8
   • 216.174.161.**********:8
   • 69.133.103.**********:8
   • 67.149.59.**********:8
   • 68.118.224.**********:8
   • 68.46.202.**********:8
   • 70.132.132.**********:8
   • 69.113.3.**********:8
   • 128.211.221.**********:8

После установления соединения вызывается дополнительный список серверов.
В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

Передает информацию о:
    • Созданный лог-файл


Возможности удаленного контроля:
    • Соединение с IRC сервером для получения дополнительных возможностей удаленного контроля.
    • Загрузить файл
    • Произвести DDoS атаку
    • Отправить электронную почту
    • Относительно спама
    • Загрузить файл
    • Посещение веб-страницы

 Разное Мьютекс:
Создается мьютекс:
   • d3kb5sujs50lq2mr

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Andrei Gherman в(о) вторник, 2 мая 2006 г.
Описание обновил Andrei Gherman в(о) вторник, 9 мая 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.