Nom:Worm/VB.BY.3
La date de la découverte:04/07/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:35.176 Octets
Somme de contrôle MD5:72ac420Cef8d898ab1a66c5d79ce7d6b
Version VDF:6.35.00.115
Version IVDF:6.35.00.141 - lundi 10 juillet 2006

 Général Méthodes de propagation:
   • Email
   • Peer to Peer


Les alias:
   •  Mcafee: W32/MoonLight.worm
   •  Kaspersky: Email-Worm.Win32.VB.by
   •  TrendMicro: WORM_BRONTOK.AH
   •  VirusBuster: I-Worm.VB.WEI
   •  Eset: Win32/NoonLight.F
   •  Bitdefender: Worm.Spawner.VB.BY


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier
   • Il emploie son propre moteur de courrier électronique
   • Il diminue les réglages de sécurité
   • Il enregistre les frappes de touche
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\%nombre%.exe
   • %SYSDIR%\X%nombre%go\Z%nombre%cie.cmd
   • %HOME%\Templates\%nombre%Z\TUX%nombre%.exe
   • %HOME%\Start Menu\Programs\startup\sql.cmd
   • %WINDIR%\M%nombre%\Ja%nombre%bLay.com
   • %WINDIR%\Ti%nombre%ta.exe
   • %WINDIR%\sa-%nombre%.exe
   • %WINDIR%\M%nombre%\smss.exe
   • %WINDIR%\M%nombre%\EmangEloh.exe
   • %HOME%\Templates\%nombre%Z\winlogon.exe
   • %HOME%\Templates\%nombre%Z\service.exe



Le fichier suivant est créé:

%SYSDIR%\msvbvm60.dll

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "T%nombre%"="%WINDIR%\sa-%nombre%.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "T%nombre%"="%SYSDIR%\%nombre%.exe"



Les valeurs des clés de registre suivantes sont supprimées:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ADie suka kamu
   • Bron-Spizaetus-cfirltrx
   • Bron-Spizaetus
   • Bron-Spizaetus-cgglmmrv
   • dkernel
   • lexplorer
   • YourUnintendes
   • YourUnintended
   • TryingToSpeak

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • SaTRio ADie X
   • Tok-Cirrhatus-1101
   • MomentEverComes
   • AllMyBallance
   • Tok-Cirrhatus



Les clés de registre suivantes sont ajoutée:

– HKCU\Software\VB and VBA Program Settings\noGods

– HKCU\Software\VB and VBA Program Settings\noGods\appActive
   • "winlogon.exe"="£¸ð"
   • "EmangEloh.exe"="i~¶Q"
   • "smss.exe"="r"
   • "service.exe"="²ê"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe
   • debugger"="%WINDIR%\notepad.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe
   • "debugger"="%WINDIR%\notepad.exe"

– HKCU\Software\VB and VBA Program Settings\untukmu\version
   • "me"="4"

– HKCR\scrfile
   • "(Default)"="File Folder"



Les clés de registre suivantes sont changées:

– HKLM\SYSTEM\ControlSet002\Control\SafeBoot
   L'ancienne valeur:
   • "AlternateShell"="cmd.exe"
   La nouvelle valeur:
   • "AlternateShell"="%nombre%.exe"

– HKLM\SYSTEM\ControlSet001\Control\SafeBoot
   L'ancienne valeur:
   • "AlternateShell"="cmd.exe"
   La nouvelle valeur:
   • "AlternateShell"="%nombre%.exe"

Désactive le Pare-feu du Windows:
– HKLM\SYSTEM\ControlSet001\Services\SharedAccess
   L'ancienne valeur:
   • "Start"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Start"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   L'ancienne valeur:
   • "ShowSuperHidden"=%réglages définis par l'utilisateur%
   • "Hidden"=%réglages définis par l'utilisateur%
   • "HideFileExt"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "ShowSuperHidden"=dword:00000000
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   L'ancienne valeur:
   • "DisableRegistryTools"=dword:00000000
   La nouvelle valeur:
   • "DisableRegistryTools"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   L'ancienne valeur:
   • "Userinit"="%SYSDIR%\userinit.exe"
   • "Shell"="explorer.exe"
   La nouvelle valeur:
   • "Userinit"="%SYSDIR%\userinit.exe , "%WINDIR%\M%nombre%\Ja%numberbLay.com""
   • "Shell"="explorer.exe, "C:\Documents and Settings\cda101\Templates\O%nombre%Z\TuxO%nombre%Z.exe""

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Un des suivants:
   • Tolong Aku..
   • Tolong
   • hi please see this file
   • hey Indonesian porn Tiara lestari pic's
   • Registration Confirmation
   • Cek This
   • hello
   • RE:bla bla bla
   • RE:HeLLO GuYs



Corps:
Le corps de l'email est une des lignes:
   • please read again what i have written to you
   • thank's for you register your acount details are attached
   • Aku Mencari Wanita yang aku Cintai
   • dan cara menggunakan email mass
   • ini adalah cara terakhirku ,di lampiran ini terdapat
   • foto dan data Wanita tsb Thank's
   • NB:Mohon di teruskan kesahabat anda
   • aku mahasiswa Bsi Margonda smt 3
   • yah aku sedang membutuhkan pekerjaan
   • oh ya aku tahu anda dr milis ilmu komputer
   • di lampiran ini terdapat curriculum vittae dan foto saya
   • password lampiran 55132098
   • For security reasons attached file is password protected. The password is 55132098
Le corps de l'email est le suivant:

   • free screen saver romance for you.
      Please Visit Our Web Site
     http://www.moonLight.com


Pièce jointe:
Le nom de fichier de l'attachement est un des suivants:
   • curriculum vittae.zip
   • USE_RAR_To_Extract.ace
   • ZIPPED.zip
   • FILEATTACH.bz2
   • Doc.gz
   • file.bz2
   • thisfile.gz
   • TITTA'S Picture.jar

La pièce jointe est une archive contenant une copie du virus

 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • txt
   • tml
   • asp
   • wab
   • eml
   • doc
   • php
   • rtf


La création des adresses pour champ DE:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • B4bb1cool; mansonisme; Yoseph2000; 12050075; CoolMan; BabbyBear;
      Jagung-Bakar; MooNLight; Rita; sasUK3; Davis; Titta; Anata; Emily;
      HellSpawn; Lia; Fria; admin; SaZZA; BInaSarana; JuwitaNingrum;
      HackersMinds



Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • bank; bront; dengines; Friendster; login; mcafee; MoonMail; norman;
      norton; novell; panda; sensasi; sophos; suport; Syman; Trend; vaksin;
      virus; xxx; yahoogroup; yourdomain; yoursite; yyyy


Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • smtp.
   • mail.
   • ns1.
   • mx1.
   • mail1.
   • mx.
   • mxs.
   • relay.
   • gate.

 P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:  


   Il cherche les répertoires qui contient une des sous chaîne de caractères suivantes:
   • upload
   • share
   • download

   En cas de succès, les fichiers suivants sont créés:
   • TutoriaL HAcking%espaces vides%.exe
   • Lagu - Server%espaces vides%.scr
   • Data DosenKu%espaces vides%.exe
   • Titip Folder Jangan DiHapus%espaces vides%.exe
   • Love Song%espaces vides%.scr
   • New mp3 BaraT !!%espaces vides%.exe
   • THe Best Ungu%espaces vides%.scr
   • Blink 182%espaces vides%.exe
   • Norman virus Control 5.18%espaces vides%.exe
   • download%espaces vides%.scr
   • Gallery%espaces vides%.scr
   • RaHasIA%espaces vides%.exe

   Ces fichiers sont copies du Malware.

 Porte dérobée Serveur de contact:
Le suivant:
   • http://www.apasajalah.host.sk/**********

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.


Il envoie de l'information au sujet de:
    • Les informations rassemblées, décrites dans la section

 Vol d'informations     • Frappes de touche

 Informations divers Chaîne de caractères:
Ensuite il contient les chaînes de caractères suivantes:
   • :: The NewMoonLight ::
   • Created by HeLLsPAwn A.K.A B4bb1cool
   • (c) 2006 Depok ~ Indonesia

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Irina Boldea le jeudi 10 août 2006
Description mise à jour par Irina Boldea le vendredi 11 août 2006

Retour . . . .