Vollständige Virenbeschreibung

Name:	Worm/VB.BY.3
Entdeckt am:	04/07/2006
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel bis hoch
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	35.176 Bytes
MD5 Prüfsumme:	72ac420Cef8d898ab1a66c5d79ce7d6b
VDF Version:	6.35.00.115
IVDF Version:	6.35.00.141 - Montag, 10. Juli 2006

Allgemein Verbreitungsmethoden:
   • Email
   • Peer to Peer

Aliases:
   • Mcafee: W32/MoonLight.worm
   • Kaspersky: Email-Worm.Win32.VB.by
   • TrendMicro: WORM_BRONTOK.AH
   • VirusBuster: I-Worm.VB.WEI
   • Eset: Win32/NoonLight.F
   • Bitdefender: Worm.Spawner.VB.BY

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine Datei
   • Verfügt über eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry

Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\%Nummer%.exe
   • %SYSDIR%\X%Nummer%go\Z%Nummer%cie.cmd
   • %HOME%\Templates\%Nummer%Z\TUX%Nummer%.exe
   • %HOME%\Start Menu\Programs\startup\sql.cmd
   • %WINDIR%\M%Nummer%\Ja%Nummer%bLay.com
   • %WINDIR%\Ti%Nummer%ta.exe
   • %WINDIR%\sa-%Nummer%.exe
   • %WINDIR%\M%Nummer%\smss.exe
   • %WINDIR%\M%Nummer%\EmangEloh.exe
   • %HOME%\Templates\%Nummer%Z\winlogon.exe
   • %HOME%\Templates\%Nummer%Z\service.exe

Es wird folgende Datei erstellt:

– %SYSDIR%\msvbvm60.dll

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "T%Nummer%"="%WINDIR%\sa-%Nummer%.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "T%Nummer%"="%SYSDIR%\%Nummer%.exe"

Die Werte der folgenden Registry keys werden gelöscht:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ADie suka kamu
   • Bron-Spizaetus-cfirltrx
   • Bron-Spizaetus
   • Bron-Spizaetus-cgglmmrv
   • dkernel
   • lexplorer
   • YourUnintendes
   • YourUnintended
   • TryingToSpeak

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • SaTRio ADie X
   • Tok-Cirrhatus-1101
   • MomentEverComes
   • AllMyBallance
   • Tok-Cirrhatus

Folgende Registryschlüssel werden hinzugefügt:

– HKCU\Software\VB and VBA Program Settings\noGods

– HKCU\Software\VB and VBA Program Settings\noGods\appActive
   • "winlogon.exe"="£¸ð"
   • "EmangEloh.exe"="i~¶Q"
   • "smss.exe"="r"
   • "service.exe"="²ê"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe
   • debugger"="%WINDIR%\notepad.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe
   • "debugger"="%WINDIR%\notepad.exe"

– HKCU\Software\VB and VBA Program Settings\untukmu\version
   • "me"="4"

– HKCR\scrfile
   • "(Default)"="File Folder"

Folgende Registryschlüssel werden geändert:

– HKLM\SYSTEM\ControlSet002\Control\SafeBoot
   Alter Wert:
   • "AlternateShell"="cmd.exe"
   Neuer Wert:
   • "AlternateShell"="%Nummer%.exe"

– HKLM\SYSTEM\ControlSet001\Control\SafeBoot
   Alter Wert:
   • "AlternateShell"="cmd.exe"
   Neuer Wert:
   • "AlternateShell"="%Nummer%.exe"

Deaktiviere Windows Firewall:
– HKLM\SYSTEM\ControlSet001\Services\SharedAccess
   Alter Wert:
   • "Start"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Start"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Alter Wert:
   • "ShowSuperHidden"=%Einstellungen des Benutzers%
   • "Hidden"=%Einstellungen des Benutzers%
   • "HideFileExt"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "ShowSuperHidden"=dword:00000000
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001

Deaktivieren von Regedit und Task Manager:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Alter Wert:
   • "DisableRegistryTools"=dword:00000000
   Neuer Wert:
   • "DisableRegistryTools"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Alter Wert:
   • "Userinit"="%SYSDIR%\userinit.exe"
   • "Shell"="explorer.exe"
   Neuer Wert:
   • "Userinit"="%SYSDIR%\userinit.exe , "%WINDIR%\M%Nummer%\Ja%numberbLay.com""
   • "Shell"="explorer.exe, "C:\Documents and Settings\cda101\Templates\O%Nummer%Z\TuxO%Nummer%Z.exe""

Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:

Von:
Die Absenderadresse wurde gefälscht.
Generierte Adressen. Bitte vermuten Sie nicht, dass es des Absenders Absicht war diese Email zu schicken. Es ist möglich, dass er nichts über seine Infektion weiß oder sogar nicht infiziert ist. Des Weiteren ist es möglich, dass Sie Emails bekommen in denen die Rede davon ist, dass Sie infiziert sind was möglicherweise auch nicht stimmt.

An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)

Betreff:
Eine der folgenden:
   • Tolong Aku..
   • Tolong
   • hi please see this file
   • hey Indonesian porn Tiara lestari pic's
   • Registration Confirmation
   • Cek This
   • hello
   • RE:bla bla bla
   • RE:HeLLO GuYs

Body:
Der Body der Email ist einer der folgenden:
   • please read again what i have written to you
   • thank's for you register your acount details are attached
   • Aku Mencari Wanita yang aku Cintai
   • dan cara menggunakan email mass
   • ini adalah cara terakhirku ,di lampiran ini terdapat
   • foto dan data Wanita tsb Thank's
   • NB:Mohon di teruskan kesahabat anda
   • aku mahasiswa Bsi Margonda smt 3
   • yah aku sedang membutuhkan pekerjaan
   • oh ya aku tahu anda dr milis ilmu komputer
   • di lampiran ini terdapat curriculum vittae dan foto saya
   • password lampiran 55132098
   • For security reasons attached file is password protected. The password is 55132098
Der Body der Email ist folgender:

   • free screen saver romance for you.
      Please Visit Our Web Site
     http://www.moonLight.com

Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • curriculum vittae.zip
   • USE_RAR_To_Extract.ace
   • ZIPPED.zip
   • FILEATTACH.bz2
   • Doc.gz
   • file.bz2
   • thisfile.gz
   • TITTA'S Picture.jar

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.

Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • txt
   • tml
   • asp
   • wab
   • eml
   • doc
   • php
   • rtf

Erzeugen von Adressen für den Absender:
Um Adressen zu generieren werden folgende Zeichenketten verwendet:
   • B4bb1cool; mansonisme; Yoseph2000; 12050075; CoolMan; BabbyBear;
      Jagung-Bakar; MooNLight; Rita; sasUK3; Davis; Titta; Anata; Emily;
      HellSpawn; Lia; Fria; admin; SaZZA; BInaSarana; JuwitaNingrum;
      HackersMinds

Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • bank; bront; dengines; Friendster; login; mcafee; MoonMail; norman;
      norton; novell; panda; sensasi; sophos; suport; Syman; Trend; vaksin;
      virus; xxx; yahoogroup; yourdomain; yoursite; yyyy

Anfügen von MX Zeichenketten:
Um die IP Adresse des Emailservers zu bekommen werden folgende Zeichenketten dem Domain Namen vorgesetzt:
   • smtp.
   • mail.
   • ns1.
   • mx1.
   • mail1.
   • mx.
   • mxs.
   • relay.
   • gate.

P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:

–   Es wird nach Verzeichnissen gesucht welche einer der folgenden Zeichenketten enthalten:
   • upload
   • share
   • download

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • TutoriaL HAcking%mehrere Leerzeichen%.exe
   • Lagu - Server%mehrere Leerzeichen%.scr
   • Data DosenKu%mehrere Leerzeichen%.exe
   • Titip Folder Jangan DiHapus%mehrere Leerzeichen%.exe
   • Love Song%mehrere Leerzeichen%.scr
   • New mp3 BaraT !!%mehrere Leerzeichen%.exe
   • THe Best Ungu%mehrere Leerzeichen%.scr
   • Blink 182%mehrere Leerzeichen%.exe
   • Norman virus Control 5.18%mehrere Leerzeichen%.exe
   • download%mehrere Leerzeichen%.scr
   • Gallery%mehrere Leerzeichen%.scr
   • RaHasIA%mehrere Leerzeichen%.exe

   Diese Dateien sind Kopien der eigenen Malware Datei

Hintertür Kontaktiert Server:
Den folgenden:
• http://www.apasajalah.host.sk/**********

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

Sende Informationen über:
• Aus dem Diebstahl-Bereich gesammelte Informationen

Diebstahl • Tastaturanschläge

Diverses String:
Des Weiteren enthält es folgende Zeichenketten:
   • :: The NewMoonLight ::
   • Created by HeLLsPAwn A.K.A B4bb1cool
   • (c) 2006 Depok ~ Indonesia

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Irina Boldea am Donnerstag, 10. August 2006
Die Beschreibung wurde geändert von Irina Boldea am Freitag, 11. August 2006

zurück . . . .