Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/VB.EX
Entdeckt am:08/01/2007
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:133.632 Bytes
MD5 Prfsumme:c140fa018a75e964c287f254a55fa5e6
IVDF Version:6.37.00.117 - Montag, 8. Januar 2007

 General Verbreitungsmethoden:
   • Email
   • Lokales Netzwerk


Aliases:
   •  Mcafee: W32/MoonLight.worm
   •  Kaspersky: Email-Worm.Win32.VB.co
   •  Sophos: W32/Bobandy-F
   •  Eset: Win32/NoonLight.X
   •  Bitdefender: Worm.Moonlight.A


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Erstellt Dateien
   • Erstellt schdliche Dateien
   • Verfgt ber eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter
   • Zeichnet Tastatureingaben auf
   • nderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\%zufllige Buchstabenkombination%\service.exe
   • %WINDIR%\%zufllige Buchstabenkombination%\winlogon.exe
   • %WINDIR%\%zufllige Buchstabenkombination%\system.exe
   • %WINDIR%\%zufllige Buchstabenkombination%\regedit.cmd
   • %WINDIR%\%zufllige Buchstabenkombination%\smss.exe
   • %WINDIR%\%zufllige Buchstabenkombination%\%zufllige Buchstabenkombination%.com
   • %WINDIR%\%zufllige Buchstabenkombination%\%zufllige Buchstabenkombination%.exe
   • %WINDIR%\lsass.exe
   • %SYSDIR%\%zufllige Buchstabenkombination%\%zufllige Buchstabenkombination%.cmd
   • %WINDIR%\%zufllige Buchstabenkombination%.exe
   • %SYSDIR%\%zufllige Buchstabenkombination%.exe
   • %HOME%\My Documents\%alle Unterverzeichnisse%\%aktueller Verzeichnisname%.exe
   • C:\RealPlayer13-5GOLD.exe
   • C:\Icon Cool-Editor 3.4.30315.exe
   • C:\CheatEngine52.exe
   • C:\framework-4.4.exe
   • C:\Vista Transformation Pack 4.0.exe
   • C:\Pack_Vista_Inspirat_1.6.exe
   • C:\DeepUnfreezerU1.6.exe
   • C:\Len
   • C:\Pack_Longhorn_Inspirat_1.6_code32547.exe
   • C:\TeamViewer_Setup.exe
   • C:\Licence.exe
   • C:\Pictures.exe
   • C:\Secret.exe
   • C:\Documents.exe
   • C:\Vivid.exe
   • C:\update.exe
   • C:\XXX.exe
   • C:\cool.exe
   • C:\vitae.exe
   • C:\error.exe



Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
   • %WINDIR%\%zufllige Buchstabenkombination%\MYpIC.zip



Es wird folgendes Verzeichnis erstellt:
   • %WINDIR%\%zufllige Buchstabenkombination%



Es werden folgende Dateien erstellt:

Nicht virulente Datei:
   • %WINDIR%\onceinabluemoon.mid

%SYSDIR%\systear.dll
%WINDIR%\MooNlight.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • [Lunalight]
     
     I-WorM.LunaLIGHT.b Aliase W32/MoonLight.P@mm
     Copyleft @ Devil.inc

%WINDIR%\moonlight.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Moonlight.DLL.Dam

%SYSDIR%\msvbvm60.dll
%WINDIR%\cypreg.dll

 Registry Die folgenden Registryschlssel werden hinzugefgt um die Prozesse nach einem Neustart des Systems erneut zu starten.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%zufllige Buchstabenkombination%"="%SYSDIR%\%zufllige Buchstabenkombination%.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%zufllige Buchstabenkombination%"="%WINDIR%\%zufllige Buchstabenkombination%.exe"



Die Werte der folgenden Registry keys werden gelscht:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "avgnt"
   • "drv_st_key"
   • "norman_zanda"
   • "MSMSG"
   • "Winamp"
   • "Word"
   • "Driver"
   • "WinUpdateSupervisor"
   • "Task"
   • "dago"
   • "SMA_nya_Artika"
   • "Putri_Indonesia"
   • "BabelPath"
   • "Alumni Smansa"
   • "ViriSetup"
   • "SMAN1_Pangkalpinang"
   • "Putri_Bangka"
   • "SysYuni"
   • "SysDiaz"
   • "SysRia"
   • "Pluto"
   • "DllHost"
   • "SaTRio ADie X"
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "Bron-Spizaetus"
   • "ADie suka kamu"
   • "winfix"
   • "templog"
   • "service"
   • "Grogotix"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "avgnt"
   • "drv_st_key"
   • "norman_zanda"
   • "MSMSG"
   • "Winamp"
   • "Word"
   • "Driver"
   • "WinUpdateSupervisor"
   • "Task"
   • "dago"
   • "SMA_nya_Artika"
   • "Putri_Indonesia"
   • "BabelPath"
   • "Alumni Smansa"
   • "ViriSetup"
   • "SMAN1_Pangkalpinang"
   • "Putri_Bangka"
   • "SysYuni"
   • "SysDiaz"
   • "SysRia"
   • "Pluto"
   • "DllHost"
   • "SaTRio ADie X"
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "Bron-Spizaetus"
   • "ADie suka kamu"
   • "winfix"
   • "templog"
   • "service"
   • "Grogotix"



Folgende Registryschlssel werden gendert:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "Shell"="Explorer.exe"
   Neuer Wert:
   • "Shell"="explorer.exe, "%WINDIR%\%zufllige Buchstabenkombination%\%zufllige Buchstabenkombination%.exe""

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Alter Wert:
   • "load"=""
   Neuer Wert:
   • "load"=""%WINDIR%\%zufllige Buchstabenkombination%\%zufllige Buchstabenkombination%.com""

Verschiedenste Einstellungen des Explorers:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • "Hidden"=%Einstellungen des Benutzers%
   • "HideFileExt"=%Einstellungen des Benutzers%
   • "ShowSuperHidden"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

[HKCR\scrfile]
   Alter Wert:
   • @="Screen Saver"
   Neuer Wert:
   • @="File Folder"

[HKCR\exefile]
   Alter Wert:
   • @="Application"
   Neuer Wert:
   • @="File Folder"

[HKLM\SOFTWARE\Classes\exefile]
   Alter Wert:
   • @="Application"
   Neuer Wert:
   • @="File Folder"

Deaktiviere Windows Firewall:
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Alter Wert:
   • "Start"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Start"=dword:00000000

Verschiedenste Einstellungen des Explorers:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Alter Wert:
   • "UncheckedValue"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "UncheckedValue"=dword:00000000

[HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   Alter Wert:
   • "DisableConfig"=%Einstellungen des Benutzers%
   • "DisableSR"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableConfig"=dword:00000001
   • "DisableSR"=dword:00000001

[HKLM\SYSTEM\ControlSet001\Control\SafeBoot]
   Alter Wert:
   • "AlternateShell"="cmd.exe"
   Neuer Wert:
   • "AlternateShell"="%zufllige Buchstabenkombination%.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe]
   Neuer Wert:
   • "debugger"="%WINDIR%\notepad.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   Neuer Wert:
   • "debugger"="%WINDIR%\%zufllige Buchstabenkombination%\regedit.cmd"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\rstrui.exe]
   Neuer Wert:
   • "debugger"="%WINDIR%\notepad.exe"

 Email Die Malware verfgt ber eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgefhrt:


Von:
Generierte Adressen. Bitte vermuten Sie nicht, dass es des Absenders Absicht war diese Email zu schicken. Es ist mglich, dass er nichts ber seine Infektion wei oder sogar nicht infiziert ist. Des Weiteren ist es mglich, dass Sie Emails bekommen in denen die Rede davon ist, dass Sie infiziert sind was mglicherweise auch nicht stimmt.


An:
– Email Adressen welche in ausgewhlten Dateien auf dem System gefunden wurden.


Betreff:
Eine der folgenden:
   • Tolong Aku..
   • Tolong
   • Aku Mencari Wanita yang aku Cintai
   • miss Indonesian
   • Cek This
   • hello
   • Japannes Porn



Body:
Der Body der Email ist einer der folgenden:
   • dan cara menggunakan email mass
   • ini adalah cara terakhirku ,di lampiran ini terdapat
   • foto dan data Wanita tsb Thank's
   • NB:Mohon di teruskan kesahabat anda
   • aku mahasiswa BSI Margonda smt 4
   • yah aku sedang membutuhkan pekerjaan
   • oh ya aku tahu anda dr milis ilmu komputer
   • di lampiran ini terdapat curriculum vittae dan foto saya
   • hi
   • hey Indonesian porn
   • Agnes Monica pic's
   • Fucking With Me :D
   • please read again what i have written to you
   • Hot ...


Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • Doc %siebenstellige zufllige Buchstabenkombination%.zip
   • file %siebenstellige zufllige Buchstabenkombination%.zip
   • hell %siebenstellige zufllige Buchstabenkombination%.zip
   • Miyabi %siebenstellige zufllige Buchstabenkombination%.zip
   • nadine %siebenstellige zufllige Buchstabenkombination%.zip
   • need you %siebenstellige zufllige Buchstabenkombination%.zip
   • thisfile %siebenstellige zufllige Buchstabenkombination%.zip
   • video %siebenstellige zufllige Buchstabenkombination%.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthlt.



Die Email knnte wie eine der folgenden aussehen.



 Versand  Erzeugen von Adressen fr den Absender:
Um Adressen zu generieren werden folgende Zeichenketten verwendet:
   • Anton; Firmansyah; Joko; Titta; Lanelitta; Ami; Riri; Fransisca;
      Claudia; Fransiska; Cicilia; sisilia; Hilda; Nadine; Ida; Julia; Nana;
      Joe; CoolMan; Vivi; Valentina; Linda; Rita; sasuke; Davis; Anata;
      Emily; HellSpawn; Lia; Fria; admin; SaZZA; Susi; Agnes; JuwitaNingrum;
      Natalia


Der Domain Name ist einer der folgenden:
   • Lovemail.com
   • hackersmail.com
   • hotmail.com
   • gmail.com
   • msn.com
   • yahoo.com.sg
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • security; avira; norman; norton; panda; mcafee; Syman; sophos; Trend;
      vaksin; novell; virus
Um die IP Adresse des Emailservers zu bekommen werden folgende Zeichenketten dem Domain Namen vorgesetzt:
   • smtp.
   • mail.
   • ns1.
   • mx1.
   • mail1.
   • mx.
   • mxs.
   • relay.
   • gate.

 Infektion ber das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

Eine Kopie seiner selbst wird in folgenden freigegebenen Netzressourcen erstellt:
   • \IPC$
   • \ADMIN$

 Diebstahl Es wird versucht folgende Information zu klauen:

Nachdem Tastaturanschlge welche mit einer der folgenden Zeichenketten bereinstimmen gedrckt wurden wird eine Protokollfunktion gestartet:
   • Friendster
   • yahoo
   • gmail
   • login
   • bank
   • hotmail

– Aufgezeichnet wird:
     Tastaturanschlge

 Diverses  Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu berprfen:
   • www.google.com

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Adriana Popa am Freitag, 9. November 2007
Die Beschreibung wurde geändert von Monica Ghitun am Freitag, 9. November 2007

zurück . . . .