Descripción completa

Nombre:	Worm/VB.EX
Descubierto:	08/01/2007
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio-alto
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	133.632 Bytes
Suma de control MD5:	c140fa018a75e964c287f254a55fa5e6
Versión del IVDF:	6.37.00.117 - lunes 8 de enero de 2007

General Métodos de propagación:
   • Correo electrónico
   • Red local

Alias:
   • Mcafee: W32/MoonLight.worm
   • Kaspersky: Email-Worm.Win32.VB.co
   • Sophos: W32/Bobandy-F
   • Eset: Win32/NoonLight.X
   • Bitdefender: Worm.Moonlight.A

Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Desactiva los programas de seguridad
   • Suelta ficheros
   • Suelta ficheros dañinos
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\%serie de caracteres aleatorios%\service.exe
   • %WINDIR%\%serie de caracteres aleatorios%\winlogon.exe
   • %WINDIR%\%serie de caracteres aleatorios%\system.exe
   • %WINDIR%\%serie de caracteres aleatorios%\regedit.cmd
   • %WINDIR%\%serie de caracteres aleatorios%\smss.exe
   • %WINDIR%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.com
   • %WINDIR%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.exe
   • %WINDIR%\lsass.exe
   • %SYSDIR%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.cmd
   • %WINDIR%\%serie de caracteres aleatorios%.exe
   • %SYSDIR%\%serie de caracteres aleatorios%.exe
   • %HOME%\My Documents\%todos los subdirectorios%\%nombre del directorio actual%.exe
   • C:\RealPlayer13-5GOLD.exe
   • C:\Icon Cool-Editor 3.4.30315.exe
   • C:\CheatEngine52.exe
   • C:\framework-4.4.exe
   • C:\Vista Transformation Pack 4.0.exe
   • C:\Pack_Vista_Inspirat_1.6.exe
   • C:\DeepUnfreezerU1.6.exe
   • C:\Len
   • C:\Pack_Longhorn_Inspirat_1.6_code32547.exe
   • C:\TeamViewer_Setup.exe
   • C:\Licence.exe
   • C:\Pictures.exe
   • C:\Secret.exe
   • C:\Documents.exe
   • C:\Vivid.exe
   • C:\update.exe
   • C:\XXX.exe
   • C:\cool.exe
   • C:\vitae.exe
   • C:\error.exe

Se copia a sí mismo en un archivo en la siguiente ubicación:
   • %WINDIR%\%serie de caracteres aleatorios%\MYpIC.zip

Crea la siguiente carpeta:
   • %WINDIR%\%serie de caracteres aleatorios%

Crea los siguientes ficheros:

– Fichero no malicioso:
   • %WINDIR%\onceinabluemoon.mid

– %SYSDIR%\systear.dll
– %WINDIR%\MooNlight.txt Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • [Lunalight]

     I-WorM.LunaLIGHT.b Aliase W32/MoonLight.P@mm
     Copyleft @ Devil.inc

– %WINDIR%\moonlight.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Moonlight.DLL.Dam

– %SYSDIR%\msvbvm60.dll
– %WINDIR%\cypreg.dll

Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%serie de caracteres aleatorios%"="%SYSDIR%\%serie de caracteres aleatorios%.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%serie de caracteres aleatorios%"="%WINDIR%\%serie de caracteres aleatorios%.exe"

Elimina del registro de Windows los valores de las siguientes claves:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "avgnt"
   • "drv_st_key"
   • "norman_zanda"
   • "MSMSG"
   • "Winamp"
   • "Word"
   • "Driver"
   • "WinUpdateSupervisor"
   • "Task"
   • "dago"
   • "SMA_nya_Artika"
   • "Putri_Indonesia"
   • "BabelPath"
   • "Alumni Smansa"
   • "ViriSetup"
   • "SMAN1_Pangkalpinang"
   • "Putri_Bangka"
   • "SysYuni"
   • "SysDiaz"
   • "SysRia"
   • "Pluto"
   • "DllHost"
   • "SaTRio ADie X"
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "Bron-Spizaetus"
   • "ADie suka kamu"
   • "winfix"
   • "templog"
   • "service"
   • "Grogotix"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "avgnt"
   • "drv_st_key"
   • "norman_zanda"
   • "MSMSG"
   • "Winamp"
   • "Word"
   • "Driver"
   • "WinUpdateSupervisor"
   • "Task"
   • "dago"
   • "SMA_nya_Artika"
   • "Putri_Indonesia"
   • "BabelPath"
   • "Alumni Smansa"
   • "ViriSetup"
   • "SMAN1_Pangkalpinang"
   • "Putri_Bangka"
   • "SysYuni"
   • "SysDiaz"
   • "SysRia"
   • "Pluto"
   • "DllHost"
   • "SaTRio ADie X"
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "Bron-Spizaetus"
   • "ADie suka kamu"
   • "winfix"
   • "templog"
   • "service"
   • "Grogotix"

Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   Nuevo valor:
   • "Shell"="explorer.exe, "%WINDIR%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.exe""

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Valor anterior:
   • "load"=""
   Nuevo valor:
   • "load"=""%WINDIR%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.com""

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "Hidden"=%configuración definida por el usuario%
   • "HideFileExt"=%configuración definida por el usuario%
   • "ShowSuperHidden"=%configuración definida por el usuario%
   Nuevo valor:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

– [HKCR\scrfile]
   Valor anterior:
   • @="Screen Saver"
   Nuevo valor:
   • @="File Folder"

– [HKCR\exefile]
   Valor anterior:
   • @="Application"
   Nuevo valor:
   • @="File Folder"

– [HKLM\SOFTWARE\Classes\exefile]
   Valor anterior:
   • @="Application"
   Nuevo valor:
   • @="File Folder"

Desactiva el cortafuego de Windows:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • "Start"=%configuración definida por el usuario%
   Nuevo valor:
   • "Start"=dword:00000000

Varias opciones de configuración en Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Valor anterior:
   • "UncheckedValue"=%configuración definida por el usuario%
   Nuevo valor:
   • "UncheckedValue"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   Valor anterior:
   • "DisableConfig"=%configuración definida por el usuario%
   • "DisableSR"=%configuración definida por el usuario%
   Nuevo valor:
   • "DisableConfig"=dword:00000001
   • "DisableSR"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot]
   Valor anterior:
   • "AlternateShell"="cmd.exe"
   Nuevo valor:
   • "AlternateShell"="%serie de caracteres aleatorios%.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe]
   Nuevo valor:
   • "debugger"="%WINDIR%\notepad.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   Nuevo valor:
   • "debugger"="%WINDIR%\%serie de caracteres aleatorios%\regedit.cmd"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\rstrui.exe]
   Nuevo valor:
   • "debugger"="%WINDIR%\notepad.exe"

Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:

De:
Direcciones generadas. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o no esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.

Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.

Asunto:
Uno de los siguientes:
   • Tolong Aku..
   • Tolong
   • Aku Mencari Wanita yang aku Cintai
   • miss Indonesian
   • Cek This
   • hello
   • Japannes Porn

El cuerpo del mensaje:
El cuerpo del mensaje de correo es uno de los siguientes:
   • dan cara menggunakan email mass
   • ini adalah cara terakhirku ,di lampiran ini terdapat
   • foto dan data Wanita tsb Thank's
   • NB:Mohon di teruskan kesahabat anda
   • aku mahasiswa BSI Margonda smt 4
   • yah aku sedang membutuhkan pekerjaan
   • oh ya aku tahu anda dr milis ilmu komputer
   • di lampiran ini terdapat curriculum vittae dan foto saya
   • hi
   • hey Indonesian porn
   • Agnes Monica pic's
   • Fucking With Me :D
   • please read again what i have written to you
   • Hot ...

Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • Doc %serie de caracteres aleatorios de siete dígitos%.zip
   • file %serie de caracteres aleatorios de siete dígitos%.zip
   • hell %serie de caracteres aleatorios de siete dígitos%.zip
   • Miyabi %serie de caracteres aleatorios de siete dígitos%.zip
   • nadine %serie de caracteres aleatorios de siete dígitos%.zip
   • need you %serie de caracteres aleatorios de siete dígitos%.zip
   • thisfile %serie de caracteres aleatorios de siete dígitos%.zip
   • video %serie de caracteres aleatorios de siete dígitos%.zip

El adjunto es un archivo que contiene una copia del programa viral.

El mensaje de correo puede tener una de las siguientes formas:

Envio de mensajes Creación de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • Anton; Firmansyah; Joko; Titta; Lanelitta; Ami; Riri; Fransisca;
      Claudia; Fransiska; Cicilia; sisilia; Hilda; Nadine; Ida; Julia; Nana;
      Joe; CoolMan; Vivi; Valentina; Linda; Rita; sasuke; Davis; Anata;
      Emily; HellSpawn; Lia; Fria; admin; SaZZA; Susi; Agnes; JuwitaNingrum;
      Natalia

El dominio es uno de los siguientes:
   • Lovemail.com
   • hackersmail.com
   • hotmail.com
   • gmail.com
   • msn.com
   • yahoo.com.sg
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • security; avira; norman; norton; panda; mcafee; Syman; sophos; Trend;
      vaksin; novell; virus
Para obtener la dirección IP del servidor de correo, añade los siguientes prefijos al nombre del dominio:
   • smtp.
   • mail.
   • ns1.
   • mx1.
   • mail1.
   • mx.
   • mxs.
   • relay.
   • gate.

Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
• \IPC$
• \ADMIN$

Robo de informaciones Intenta robar las siguientes informaciones:

– Se inicia una rutina de creación de ficheros log después de teclear los siguientes textos:
   • Friendster
   • yahoo
   • gmail
   • login
   • bank
   • hotmail

– Captura:
    • Pulsaciones de teclado

Informaciones diversas Para buscar una conexión a Internet, contacta el siguiente sitio web:
• www.google.com

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Adriana Popa el viernes 9 de noviembre de 2007
Descripción actualizada por Monica Ghitun el viernes 9 de noviembre de 2007

Volver . . . .

Protección destacada para PC del hogar

Productos gratis

Más populares

Todos los productos

Paquetes de soluciones

Terminales

Server

Paquetes de soluciones

Puertas de enlace de correo

Puertas de enlace web

Plataformas de colaboración

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas