English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Nugache.1
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Nugache.1 - Worm
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
Worm/Nugache.1
Обнаружен:
02/05/2006
Вид:
Червь
В реальных условиях:
Да
Отмеченные факты заражения:
От низкого до среднего
Потенциал распространения:
Высокий
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
177.152 байт.
Контрольная сумма MD5:
74600E5bc19538a3b6a0b4086f4e0053
Версия VDF:
6.34.01.27
Важная информация
• Описание данного вируса находится в процессе подготовки. Повторите Ваш запрос позже.
Общее
Методы распространения:
• Email
• Локальная сеть
• Messenger
Псевдонимы (аliases):
• Symantec: W32.Nugache.A@mm
• Mcafee: W32/Nugache@MM
• Kaspersky: Email-Worm.Win32.Nugache.a
• TrendMicro: WORM_NUGACHE.A
• Bitdefender: Backdoor.SDBot.BCE
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Использует собственный почтовый движок
• Отслеживается и записывает введенные с клавиатуры символы
• Изменение реестра
• Использует уязвимость ПО
• Похищает информацию
• Позволяет несанкционированно подключиться к компьютеру
Файлы
Создается собственная копия:
•
%SYSDIR%
\mstc.exe
Создается файл:
–
%home%
\Application Data\FNTCACHE.BIN Файл содержит строки введенных с клавиатуры символов
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Microsoft Domain Controller =
%SYSDIR%
\mstc.exe
Добавляются следующие ключи реестра:
– [HKCU\Software\GNU\Data\
%IP адрес%
]
• S =
%Шестнадцатиричное число%
• F =
%Шестнадцатиричное число%
• P =
%Шестнадцатиричное число%
• L =
%шестнадцатиричное значение%
Email
Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:
Кому:
– Полученные из WAB (адресная книга Windows) адреса электронной почты
Отправка
Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
• bmaste; ccoun; secur; spam; uppor; inux; buse; .gov; .mil; dmin;
ource; upda; indow; icrosof; gnu; bug; wab; Unknown
Messenger
Распространяется с помощью программы Messenger. Основные характеристики:
– AIM Messenger
Сетевое инфицирование
Эксплойт:
Используются следующие бреши в безопасности:
–
MS04-007
(Уязвимость ASN.1)
–
MS04-011
(Уязвимость LSASS)
Backdoor
Открывается порт:
– mtsc.exe по TCP порту 8 для обеспечения backdoor функции.
Устанавливает соединение с сервером
Все последующие:
• 24.217.137.**********:8
• 68.110.80.**********:8
• 65.30.81.**********:8
• 72.129.129.**********:8
• 68.198.41.**********:8
• 64.13.113.**********:8
• 69.113.158.**********:8
• 69.141.98.**********:8
• 67.177.114.**********:8
• 24.165.115.**********:8
• 71.224.113.**********:8
• 69.234.207.**********:8
• 69.165.59.**********:8
• 24.58.101.**********:8
• 65.189.204.**********:8
• 24.206.248.**********:8
• 216.174.161.**********:8
• 69.133.103.**********:8
• 67.149.59.**********:8
• 68.118.224.**********:8
• 68.46.202.**********:8
• 70.132.132.**********:8
• 69.113.3.**********:8
• 128.211.221.**********:8
После установления соединения вызывается дополнительный список серверов.
В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.
Передает информацию о:
• Созданный лог-файл
Возможности удаленного контроля:
• Соединение с IRC сервером для получения дополнительных возможностей удаленного контроля.
• Загрузить файл
• Произвести DDoS атаку
• Отправить электронную почту
• Относительно спама
• Загрузить файл
• Посещение веб-страницы
Разное
Мьютекс:
Создается мьютекс:
• d3kb5sujs50lq2mr
Данные файла
Язык программирования:
Программа была написана на MS Visual C++.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
Краткое описание см.
здесь
.
Описание добавлено: Andrei Gherman Tue, 02 May 2006 09:43 (GMT+1)
Описание обновлено: Andrei Gherman Tue, 09 May 2006 16:39 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.U
Worm/Netsky.J
Worm/Mytob.AT
Worm/Mytob.AD
Worm/Klez.E
BDS/McMaggot.A
Worm/McMaggot.A
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/Nugache.1
Print this page
.gif)
