¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/VB.BY.3
Descubierto:04/07/2006
Tipo:Gusano
En circulacin (ITW):No
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio-alto
Potencial daino:Medio
Fichero esttico:S
Tamao:35.176 Bytes
Suma de control MD5:72ac420Cef8d898ab1a66c5d79ce7d6b
Versin del VDF:6.35.00.115
Versin del IVDF:6.35.00.141 - lunes 10 de julio de 2006

 General Mtodos de propagacin:
   • Correo electrnico
   • Peer to Peer


Alias:
   •  Mcafee: W32/MoonLight.worm
   •  Kaspersky: Email-Worm.Win32.VB.by
   •  TrendMicro: WORM_BRONTOK.AH
   •  VirusBuster: I-Worm.VB.WEI
   •  Eset: Win32/NoonLight.F
   •  Bitdefender: Worm.Spawner.VB.BY


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %SYSDIR%\%nmero%.exe
   • %SYSDIR%\X%nmero%go\Z%nmero%cie.cmd
   • %HOME%\Templates\%nmero%Z\TUX%nmero%.exe
   • %HOME%\Start Menu\Programs\startup\sql.cmd
   • %WINDIR%\M%nmero%\Ja%nmero%bLay.com
   • %WINDIR%\Ti%nmero%ta.exe
   • %WINDIR%\sa-%nmero%.exe
   • %WINDIR%\M%nmero%\smss.exe
   • %WINDIR%\M%nmero%\EmangEloh.exe
   • %HOME%\Templates\%nmero%Z\winlogon.exe
   • %HOME%\Templates\%nmero%Z\service.exe



Crea el siguiente fichero:

%SYSDIR%\msvbvm60.dll

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "T%nmero%"="%WINDIR%\sa-%nmero%.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "T%nmero%"="%SYSDIR%\%nmero%.exe"



Elimina del registro de Windows los valores de las siguientes claves:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ADie suka kamu
   • Bron-Spizaetus-cfirltrx
   • Bron-Spizaetus
   • Bron-Spizaetus-cgglmmrv
   • dkernel
   • lexplorer
   • YourUnintendes
   • YourUnintended
   • TryingToSpeak

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • SaTRio ADie X
   • Tok-Cirrhatus-1101
   • MomentEverComes
   • AllMyBallance
   • Tok-Cirrhatus



Aade las siguientes claves al registro:

HKCU\Software\VB and VBA Program Settings\noGods

HKCU\Software\VB and VBA Program Settings\noGods\appActive
   • "winlogon.exe"=""
   • "EmangEloh.exe"="i~Q"
   • "smss.exe"="r"
   • "service.exe"=""

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe
   • debugger"="%WINDIR%\notepad.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe
   • "debugger"="%WINDIR%\notepad.exe"

HKCU\Software\VB and VBA Program Settings\untukmu\version
   • "me"="4"

HKCR\scrfile
   • "(Default)"="File Folder"



Modifica las siguientes claves del registro:

HKLM\SYSTEM\ControlSet002\Control\SafeBoot
   Valor anterior:
   • "AlternateShell"="cmd.exe"
   Nuevo valor:
   • "AlternateShell"="%nmero%.exe"

HKLM\SYSTEM\ControlSet001\Control\SafeBoot
   Valor anterior:
   • "AlternateShell"="cmd.exe"
   Nuevo valor:
   • "AlternateShell"="%nmero%.exe"

Desactiva el cortafuego de Windows:
HKLM\SYSTEM\ControlSet001\Services\SharedAccess
   Valor anterior:
   • "Start"=%configuracin definida por el usuario%
   Nuevo valor:
   • "Start"=dword:00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Valor anterior:
   • "ShowSuperHidden"=%configuracin definida por el usuario%
   • "Hidden"=%configuracin definida por el usuario%
   • "HideFileExt"=%configuracin definida por el usuario%
   Nuevo valor:
   • "ShowSuperHidden"=dword:00000000
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001

Desactivar Regedit y el Administrador de Tareas:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Valor anterior:
   • "DisableRegistryTools"=dword:00000000
   Nuevo valor:
   • "DisableRegistryTools"=dword:00000001

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Valor anterior:
   • "Userinit"="%SYSDIR%\userinit.exe"
   • "Shell"="explorer.exe"
   Nuevo valor:
   • "Userinit"="%SYSDIR%\userinit.exe , "%WINDIR%\M%nmero%\Ja%numberbLay.com""
   • "Shell"="explorer.exe, "C:\Documents and Settings\cda101\Templates\O%nmero%Z\TuxO%nmero%Z.exe""

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intencin del remitente enviarle este mensaje de correo. Es posible que dicho remitente no est al tanto de la infeccin o no est infectado. Adems, es posible que usted reciba mensajes devueltos, indicndole que est infectado. Esto tambin podra ser falso.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
 Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
Uno de los siguientes:
   • Tolong Aku..
   • Tolong
   • hi please see this file
   • hey Indonesian porn Tiara lestari pic's
   • Registration Confirmation
   • Cek This
   • hello
   • RE:bla bla bla
   • RE:HeLLO GuYs



El cuerpo del mensaje:
El cuerpo del mensaje de correo es uno de los siguientes:
   • please read again what i have written to you
   • thank's for you register your acount details are attached
   • Aku Mencari Wanita yang aku Cintai
   • dan cara menggunakan email mass
   • ini adalah cara terakhirku ,di lampiran ini terdapat
   • foto dan data Wanita tsb Thank's
   • NB:Mohon di teruskan kesahabat anda
   • aku mahasiswa Bsi Margonda smt 3
   • yah aku sedang membutuhkan pekerjaan
   • oh ya aku tahu anda dr milis ilmu komputer
   • di lampiran ini terdapat curriculum vittae dan foto saya
   • password lampiran 55132098
   • For security reasons attached file is password protected. The password is 55132098
El cuerpo del mensaje es el siguiente:

   • free screen saver romance for you.
      Please Visit Our Web Site
     http://www.moonLight.com


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • curriculum vittae.zip
   • USE_RAR_To_Extract.ace
   • ZIPPED.zip
   • FILEATTACH.bz2
   • Doc.gz
   • file.bz2
   • thisfile.gz
   • TITTA'S Picture.jar

El adjunto es un archivo que contiene una copia del programa viral.

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • txt
   • tml
   • asp
   • wab
   • eml
   • doc
   • php
   • rtf


Creacin de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • B4bb1cool; mansonisme; Yoseph2000; 12050075; CoolMan; BabbyBear;
      Jagung-Bakar; MooNLight; Rita; sasUK3; Davis; Titta; Anata; Emily;
      HellSpawn; Lia; Fria; admin; SaZZA; BInaSarana; JuwitaNingrum;
      HackersMinds



Evita las direcciones:
No enva mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • bank; bront; dengines; Friendster; login; mcafee; MoonMail; norman;
      norton; novell; panda; sensasi; sophos; suport; Syman; Trend; vaksin;
      virus; xxx; yahoogroup; yourdomain; yoursite; yyyy


Prefijar los dominios de las direcciones de correo:
Para obtener la direccin IP del servidor de correo, aade los siguientes prefijos al nombre del dominio:
   • smtp.
   • mail.
   • ns1.
   • mx1.
   • mail1.
   • mx.
   • mxs.
   • relay.
   • gate.

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:


   Busca directorios que contengan una de las siguientes subseries de caracteres:
   • upload
   • share
   • download

   Al tener xito, crea los siguientes ficheros:
   • TutoriaL HAcking%espacios libres%.exe
   • Lagu - Server%espacios libres%.scr
   • Data DosenKu%espacios libres%.exe
   • Titip Folder Jangan DiHapus%espacios libres%.exe
   • Love Song%espacios libres%.scr
   • New mp3 BaraT !!%espacios libres%.exe
   • THe Best Ungu%espacios libres%.scr
   • Blink 182%espacios libres%.exe
   • Norman virus Control 5.18%espacios libres%.exe
   • download%espacios libres%.scr
   • Gallery%espacios libres%.scr
   • RaHasIA%espacios libres%.exe

   Estos ficheros son copias del programa malicioso.

 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • http://www.apasajalah.host.sk/**********

De esta forma puede enviar informaciones. Esto se realiza mediante una interrogacin HTTP GET en un script PHP.


Enva informaciones acerca de:
     Las informaciones recolectadas, descritas en la seccin

 Robo de informaciones      Pulsaciones de teclado

 Informaciones diversas Serie de caracteres:
Adems, incluye las siguientes series de caracteres:
   • :: The NewMoonLight ::
   • Created by HeLLsPAwn A.K.A B4bb1cool
   • (c) 2006 Depok ~ Indonesia

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en Visual Basic.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Irina Boldea el jueves 10 de agosto de 2006
Descripción actualizada por Irina Boldea el viernes 11 de agosto de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.