Descripción completa

Nume:	Worm/VB.EX
Descoperit pe data de:	08/01/2007
Tip:	Vierme
ITW:	Da
Numar infectii raportate:	Scazut
Potential de raspandire:	Mediu spre ridicat
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	133.632 Bytes
MD5:	c140fa018a75e964c287f254a55fa5e6
Versiune IVDF:	6.37.00.117 - lunes 8 de enero de 2007

General Metode de raspandire:
   • Email
   • Reteaua locala

Alias:
   • Mcafee: W32/MoonLight.worm
   • Kaspersky: Email-Worm.Win32.VB.co
   • Sophos: W32/Bobandy-F
   • Eset: Win32/NoonLight.X
   • Bitdefender: Worm.Moonlight.A

Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Inchide aplicatiile de securitate
   • Creeaza fisiere
   • Creeaza fisiere malware
   • Utilizeaza propriul motor de email
   • Reduce setarile de securitate
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri

Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\%combinatie de caractere aleatoare%\service.exe
   • %WINDIR%\%combinatie de caractere aleatoare%\winlogon.exe
   • %WINDIR%\%combinatie de caractere aleatoare%\system.exe
   • %WINDIR%\%combinatie de caractere aleatoare%\regedit.cmd
   • %WINDIR%\%combinatie de caractere aleatoare%\smss.exe
   • %WINDIR%\%combinatie de caractere aleatoare%\%combinatie de caractere aleatoare%.com
   • %WINDIR%\%combinatie de caractere aleatoare%\%combinatie de caractere aleatoare%.exe
   • %WINDIR%\lsass.exe
   • %SYSDIR%\%combinatie de caractere aleatoare%\%combinatie de caractere aleatoare%.cmd
   • %WINDIR%\%combinatie de caractere aleatoare%.exe
   • %SYSDIR%\%combinatie de caractere aleatoare%.exe
   • %HOME%\My Documents\%toate subdirectoarele%\%numele directorului curent%.exe
   • C:\RealPlayer13-5GOLD.exe
   • C:\Icon Cool-Editor 3.4.30315.exe
   • C:\CheatEngine52.exe
   • C:\framework-4.4.exe
   • C:\Vista Transformation Pack 4.0.exe
   • C:\Pack_Vista_Inspirat_1.6.exe
   • C:\DeepUnfreezerU1.6.exe
   • C:\Len
   • C:\Pack_Longhorn_Inspirat_1.6_code32547.exe
   • C:\TeamViewer_Setup.exe
   • C:\Licence.exe
   • C:\Pictures.exe
   • C:\Secret.exe
   • C:\Documents.exe
   • C:\Vivid.exe
   • C:\update.exe
   • C:\XXX.exe
   • C:\cool.exe
   • C:\vitae.exe
   • C:\error.exe

Se copiaza intr-o arhiva in urmatoarea locatie:
   • %WINDIR%\%combinatie de caractere aleatoare%\MYpIC.zip

Creeaza urmatorul director:
   • %WINDIR%\%combinatie de caractere aleatoare%

Sunt create fisierele:

– Fisier inofensiv:
   • %WINDIR%\onceinabluemoon.mid

– %SYSDIR%\systear.dll
– %WINDIR%\MooNlight.txt Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • [Lunalight]

     I-WorM.LunaLIGHT.b Aliase W32/MoonLight.P@mm
     Copyleft @ Devil.inc

– %WINDIR%\moonlight.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Moonlight.DLL.Dam

– %SYSDIR%\msvbvm60.dll
– %WINDIR%\cypreg.dll

Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%combinatie de caractere aleatoare%"="%SYSDIR%\%combinatie de caractere aleatoare%.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%combinatie de caractere aleatoare%"="%WINDIR%\%combinatie de caractere aleatoare%.exe"

Valorile urmatoarelor chei sunt sterse din registrii sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "avgnt"
   • "drv_st_key"
   • "norman_zanda"
   • "MSMSG"
   • "Winamp"
   • "Word"
   • "Driver"
   • "WinUpdateSupervisor"
   • "Task"
   • "dago"
   • "SMA_nya_Artika"
   • "Putri_Indonesia"
   • "BabelPath"
   • "Alumni Smansa"
   • "ViriSetup"
   • "SMAN1_Pangkalpinang"
   • "Putri_Bangka"
   • "SysYuni"
   • "SysDiaz"
   • "SysRia"
   • "Pluto"
   • "DllHost"
   • "SaTRio ADie X"
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "Bron-Spizaetus"
   • "ADie suka kamu"
   • "winfix"
   • "templog"
   • "service"
   • "Grogotix"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "avgnt"
   • "drv_st_key"
   • "norman_zanda"
   • "MSMSG"
   • "Winamp"
   • "Word"
   • "Driver"
   • "WinUpdateSupervisor"
   • "Task"
   • "dago"
   • "SMA_nya_Artika"
   • "Putri_Indonesia"
   • "BabelPath"
   • "Alumni Smansa"
   • "ViriSetup"
   • "SMAN1_Pangkalpinang"
   • "Putri_Bangka"
   • "SysYuni"
   • "SysDiaz"
   • "SysRia"
   • "Pluto"
   • "DllHost"
   • "SaTRio ADie X"
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "Bron-Spizaetus"
   • "ADie suka kamu"
   • "winfix"
   • "templog"
   • "service"
   • "Grogotix"

Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • "Shell"="Explorer.exe"
   Noua valoare:
   • "Shell"="explorer.exe, "%WINDIR%\%combinatie de caractere aleatoare%\%combinatie de caractere aleatoare%.exe""

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Vechea valoare:
   • "load"=""
   Noua valoare:
   • "load"=""%WINDIR%\%combinatie de caractere aleatoare%\%combinatie de caractere aleatoare%.com""

Diverse setari in Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Vechea valoare:
   • "Hidden"=%setarile utilizatorului%
   • "HideFileExt"=%setarile utilizatorului%
   • "ShowSuperHidden"=%setarile utilizatorului%
   Noua valoare:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

– [HKCR\scrfile]
   Vechea valoare:
   • @="Screen Saver"
   Noua valoare:
   • @="File Folder"

– [HKCR\exefile]
   Vechea valoare:
   • @="Application"
   Noua valoare:
   • @="File Folder"

– [HKLM\SOFTWARE\Classes\exefile]
   Vechea valoare:
   • @="Application"
   Noua valoare:
   • @="File Folder"

Dezactiveaza Windows Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Vechea valoare:
   • "Start"=%setarile utilizatorului%
   Noua valoare:
   • "Start"=dword:00000000

Diverse setari in Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Vechea valoare:
   • "UncheckedValue"=%setarile utilizatorului%
   Noua valoare:
   • "UncheckedValue"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   Vechea valoare:
   • "DisableConfig"=%setarile utilizatorului%
   • "DisableSR"=%setarile utilizatorului%
   Noua valoare:
   • "DisableConfig"=dword:00000001
   • "DisableSR"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot]
   Vechea valoare:
   • "AlternateShell"="cmd.exe"
   Noua valoare:
   • "AlternateShell"="%combinatie de caractere aleatoare%.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe]
   Noua valoare:
   • "debugger"="%WINDIR%\notepad.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   Noua valoare:
   • "debugger"="%WINDIR%\%combinatie de caractere aleatoare%\regedit.cmd"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\rstrui.exe]
   Noua valoare:
   • "debugger"="%WINDIR%\notepad.exe"

Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:

De la:
Adrese generate. Va rugam nu presupuneti ca a fost intentia expeditorului sa va trimita acest email. Este posibil ca el sa nu stie ca este infectat sau chiar sa nu aiba sistemul infectat. In plus, este posibil sa primiti email-uri returnate care sa va indice ca sunteti infectat, lucru care poate fi de asemenea fals.

Catre:
– Adrese de email gasite pe sistem.

Subiect:
Unul din urmatoarele:
   • Tolong Aku..
   • Tolong
   • Aku Mencari Wanita yang aku Cintai
   • miss Indonesian
   • Cek This
   • hello
   • Japannes Porn

Corpul email-ului:
Corpul email-ului este unul din textele:
   • dan cara menggunakan email mass
   • ini adalah cara terakhirku ,di lampiran ini terdapat
   • foto dan data Wanita tsb Thank's
   • NB:Mohon di teruskan kesahabat anda
   • aku mahasiswa BSI Margonda smt 4
   • yah aku sedang membutuhkan pekerjaan
   • oh ya aku tahu anda dr milis ilmu komputer
   • di lampiran ini terdapat curriculum vittae dan foto saya
   • hi
   • hey Indonesian porn
   • Agnes Monica pic's
   • Fucking With Me :D
   • please read again what i have written to you
   • Hot ...

Atasament:
Numele fisierului atasat este unul din urmatoarele:
   • Doc %sir de 7 caractere aleatoare%.zip
   • file %sir de 7 caractere aleatoare%.zip
   • hell %sir de 7 caractere aleatoare%.zip
   • Miyabi %sir de 7 caractere aleatoare%.zip
   • nadine %sir de 7 caractere aleatoare%.zip
   • need you %sir de 7 caractere aleatoare%.zip
   • thisfile %sir de 7 caractere aleatoare%.zip
   • video %sir de 7 caractere aleatoare%.zip

Atasamentul este o arhiva ce contine chiar o copie malware.

Email-ul poate arata ca unul din urmatoarele:

Email Genereaza adrese pentru campul expeditorului:
Pentru a genera adrese foloseste urmatoarele texte:
   • Anton; Firmansyah; Joko; Titta; Lanelitta; Ami; Riri; Fransisca;
      Claudia; Fransiska; Cicilia; sisilia; Hilda; Nadine; Ida; Julia; Nana;
      Joe; CoolMan; Vivi; Valentina; Linda; Rita; sasuke; Davis; Anata;
      Emily; HellSpawn; Lia; Fria; admin; SaZZA; Susi; Agnes; JuwitaNingrum;
      Natalia

Domeniul este unul din urmatoarele:
   • Lovemail.com
   • hackersmail.com
   • hotmail.com
   • gmail.com
   • msn.com
   • yahoo.com.sg
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • security; avira; norman; norton; panda; mcafee; Syman; sophos; Trend;
      vaksin; novell; virus
Pentru a afla IP-ul serverului de mail, poate adauga inaintea domeniului urmatoarele siruri de caractere:
   • smtp.
   • mail.
   • ns1.
   • mx1.
   • mail1.
   • mx.
   • mxs.
   • relay.
   • gate.

Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
• \IPC$
• \ADMIN$

Furt de informatii Incearca sa obtina urmatoarele informatii:

– O rutina de logare este pornita dupa ce se tasteaza unul din urmatorele texte:
   • Friendster
   • yahoo
   • gmail
   • login
   • bank
   • hotmail

– Face captura la:
    • Datele introduse de la tastatura

Alte informatii Cauta o conexiune Internet, contactand urmatorul website:
• www.google.com

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Visual Basic.

Descripción insertada por Adriana Popa el viernes 9 de noviembre de 2007
Descripción actualizada por Monica Ghitun el viernes 9 de noviembre de 2007

Volver . . . .

Protección destacada para PC del hogar

Productos gratis

Más populares

Todos los productos

Paquetes de soluciones

Terminales

Server

Paquetes de soluciones

Puertas de enlace de correo

Puertas de enlace web

Plataformas de colaboración

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas