¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/VB.BS.2
Descubierto:27/04/2006
Tipo:Gusano
En circulacin (ITW):No
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio-alto
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:43.520 Bytes
Suma de control MD5:818de564a30f64e39c7f6142605ebcfb
Versin del VDF:6.34.01.16 - jueves 27 de abril de 2006
Versin del IVDF:6.34.01.16 - jueves 27 de abril de 2006

 General Mtodo de propagacin:
   • Correo electrnico
   • Peer to Peer


Alias:
   •  Kaspersky: Email-Worm.Win32.VB.bs
   •  F-Secure: Email-Worm.Win32.VB.bs
   •  Sophos: W32/Bobandy-G
   •  Grisoft: I-Worm/VB.LG
   •  Eset: Win32/NoonLight.A
   •  Bitdefender: Win32.Moonlight.C@mm


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Suelta ficheros
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %WINDIR%\JAVA\CLASES\BIN\service.exe
   • %SYSDIR%\APPLOG\Sys\smss.exe
   • %SYSDIR%\run32dll.exe
   • %WINDIR%\Systask.exe
   • %SYSDIR%\dllcache\S-1-5-21-3407528163-1890605801-2494157004-500_Classes\MSOWCF.cmd
   • %WINDIR%\Brico.cmd
   • %WINDIR%\command.com
   • %SYSDIR%\remotesp.cmd
   • %SYSDIR%\MySqld-nt.cmd
   • %HOME%\Start Menu\Programs\startup\MySqld-nt Start.cmd
   • %WINDIR%\COMMAND\SETRAMD.cmd



Crea las siguientes carpetas:
   • %WINDIR%\JAVA\CLASES\BIN
   • %WINDIR%\COMMAND



Crea los siguientes ficheros:

– Un fichero temporal, que puede ser eliminado despus:
   • %TEMPDIR%\~%valores hex%.tmp

C:\D4nc1ng_in_the_M0oNLighT.txt Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • |------------------------------|
     | Im Alone, Where Is God ?? |
     | i'm Trapped This World |
     | No one's there |
     | YOu StiLL Hurt Me , Why |
     | in The Moon Light ... |
     | i'll ... die .... |
     | I can'T WaiT Tomorrow |
     | is so much to Long |
     | GoodBye Sickness |
     |------------------------------|

%HOME%\My Documents\M_o_0_n_L_i_g_h_T.txt Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • ----------------+-[W32/Moonlight]-+----------
     Created 3-2006 ,Depok City Indonesia,
     Greet's to MyMom,DeathKnight,PsHmV,Retro,
     Alco,LanElitta,An4k2MI***mrg
     
     
     |by HellSpawn|
     ---------------------------------------------

%HOME%\My Documents\iLOVEHErLAN_ELLITTA.txt Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • --------------------------------------------
     |Ta GW Masih Di DEpok, GW jg Blom nikah ko |
     |itu semua cm Gosip ko, gw kuliah di *** |
     |MarGonda.. |
     |By KK Loe |
     --------------------------------------------

%SYSDIR%\winup\msvbvm60.dll
%SYSDIR%\msvbvm60.dll
C:\cmd.bat

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ObjectDockZX"="%WINDIR%\Brico.cmd"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "MooNlightNeverDie"="%SYSDIR%\MySqld-nt.cmd"



Elimina del registro de Windows los valores de las siguientes claves:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "Tok-Cirrhatus-1101"
   • "SaTRio ADie X"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "chaaya bulan"
   • "Bron-Spizaetus-cgglmmrv"
   • "Bron-Spizaetus"
   • "Bron-Spizaetus-cfirltrx"
   • "ADie suka kamu"



Aade las siguientes claves al registro:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe]
   • "debugger"="%SYSDIR%\remotesp.cmd"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   • "debugger"="%WINDIR%\command.com"

[HKCU\Software\VB and VBA Program Settings]
[HKCU\Software\VB and VBA Program Settings\noGods]
[HKCU\Software\VB and VBA Program Settings\noGods\appActive]
   • "service.exe"="7LN{8Y"
   • "smss.exe"="xayG:"

[HKCU\Software\VB and VBA Program Settings\untukmu\version]
   • "me"="2"



Modifica las siguientes claves del registro:

Varias opciones de configuracin en Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "Hidden"=%user defined values%
   • "HideFileExt"=%user defined values%
   • "ShowSuperHidden"=%user defined values%
   Nuevo valor:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor anterior:
   • "NoFolderOptions"=%configuracin definida por el usuario%
   Nuevo valor:
   • "NoFolderOptions"=dword:00000001

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Valor anterior:
   • "UncheckedValue"=dword:00000001
   Nuevo valor:
   • "UncheckedValue"=dword:00000000

Desactivar Regedit y el Administrador de Tareas:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor anterior:
   • "DisableRegistryTools"=%configuracin definida por el usuario%
   Nuevo valor:
   • "DisableRegistryTools"=dword:00000001

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   Nuevo valor:
   • "Shell"="explorer.exe, "%WINDIR%\COMMAND\SETRAMD.cmd""

Desactiva el cortafuego de Windows:
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • "Start"=%configuracin definida por el usuario%
   Nuevo valor:
   • "Start"=dword:00000000

[HKLM\SYSTEM\ControlSet%nmero%\Control\SafeBoot]
   Nuevo valor:
   • "AlternateShell"="cmd.exe"

[HKCR\scrfile]
   Valor anterior:
   • @="Screen Saver"
   Nuevo valor:
   • @="File Folder"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   User Shell Folders]
   Nuevo valor:
   • "Common Startup"="%SYSDIR%\dllcache\S-1-5-21-3407528163-1890605801-2494157004-500_Classes"

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intencin del remitente enviarle este mensaje de correo. Es posible que dicho remitente no est al tanto de la infeccin o no est infectado. Adems, es posible que usted reciba mensajes devueltos, indicndole que est infectado. Esto tambin podra ser falso.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
 Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
Uno de los siguientes:
   • Tolong Aku..
   • Tolong
   • Registration Confirmation
   • Cek This
   • hello
   • RE:bla bla bla
   • RE:HeLLO GuYs



El cuerpo del mensaje:
El cuerpo del mensaje es uno de los siguientes:

   • hi please see this file

   • hot babe high quality porn

   • free screen saver romance for you

   • Please Visit Our Web Site:http://www.moonLight.com

   • hey free brontok, small_kl & more removal

   • thank's for you register
     your acount details are attached

   • Aku Mencari Wanita yang aku Cintai
     dan cara menggunakan email mass
     Rita

   • ini adalah cara terakhirku ,di lampiran ini terdapat
     foto dan data Wanita tsb Thank's

   • NB:Mohon di teruskan kesahabat anda
     password lampiran 55132098

   • aku mahasiswa Bsi Margonda smt 3

   • yah aku sedang membutuhkan pekerjaan

   • oh ya aku tahu anda dr milis ilmu komputer

   • di lampiran ini terdapat curriculum vittae dan foto saya


A veces continuando con una de las siguientes:

   • For security reasons attached file is password protected.
     The password is 55132098


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • mypic.zip
   • dataKU.ace
   • attach.zip
   • Update.bz2
   • Doc.gz
   • file.bz2
   • thisfile.gz
   • pic.jar

El adjunto es un archivo que contiene una copia del programa viral.

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • html; xls; mdb; doc; rtf; php"; pps; ppt; txt; tml; asp; wab; eml


Creacin de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • B4bb1cool; SpawN; jojo; mansonisme; Yoseph2000; 12050075; CoolMan;
      BabbyBear; Jagung-Bakar; MooNLight; Juwita; Davis; Titta; Anata;
      Emily; HellSpawn; Lia; Fria; admin; SaZZA; BInaSarana; Shit;
      JuwitaNingrum; HackersMinds; telkom; astaga; boleh; PLASA; indo;
      warung; gaul; id



Evita las direcciones:
No enva mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • microsoft; .l; htm; rar; zip; www.; ..; virus; suport; MoonMail;
      yoursite; yourdomain; norton; panda; mcafee; Syman; sophos; Trend;
      vaksin; novell


Prefijar los dominios de las direcciones de correo:
Para obtener la direccin IP del servidor de correo, aade los siguientes prefijos al nombre del dominio:
   • ns1.
   • mx1.
   • mail1.
   • mail.
   • mx.
   • ns.
   • smtp.
   • relay.
   • gate.

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:   Busca directorios que contengan una de las siguientes subseries de caracteres:
   • documen
   • oad
   • shar
   • upload
   • Pictu
   • ambar
   • dokumen

   Al tener xito, crea los siguientes ficheros:
   • Gallery%espacios libres%.scr
   • Blink 182%espacios libres%.scr
   • Windows Vista setup%espacios libres%.scr
   • Data DosenKu%espacios libres%.scr
   • Titip Folder Jangan DiHapus%espacios libres%.scr
   • Love Song%espacios libres%.scr
   • New mp3 BaraT !!%espacios libres%.scr
   • THe Best Ungu%espacios libres%.scr
   • Norman virus Control 5.18%espacios libres%.scr
   • TutoriaL HAcking%espacios libres%.scr
   • Lagu - Server%espacios libres%.scr
   • RaHasIA%espacios libres%.scr

   Estos ficheros son copias del programa malicioso.

 Finalizacin de los procesos Termina los procesos que contienen las siguientes series de caracteres:
   • dengines
   • command
   • cleaner
   • access
   • kill box
   • regis
   • config
   • sensasi
   • cmd
   • hijack

Han finalizado los procesos que contienen uno de los siguientes ttulos de ventana:
   • zonEALARM
   • Startup control
   • filewalker
   • ProceXP
   • system Mechanic
   • OfficeSystem
   • Freeze


 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en Visual Basic.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • PECompact

Descripción insertada por Adriana Popa el martes 9 de enero de 2007
Descripción actualizada por Adriana Popa el martes 9 de enero de 2007

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.