Description complète

Nom:	Worm/VB.BS.2
La date de la découverte:	27/04/2006
Type:	Ver
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Moyen à élevé
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	43.520 Octets
Somme de contrôle MD5:	818de564a30f64e39c7f6142605ebcfb
Version VDF:	6.34.01.16 - jeudi 27 avril 2006
Version IVDF:	6.34.01.16 - jeudi 27 avril 2006

Général Méthode de propagation:
   • Email
   • Peer to Peer

Les alias:
   • Kaspersky: Email-Worm.Win32.VB.bs
   • F-Secure: Email-Worm.Win32.VB.bs
   • Sophos: W32/Bobandy-G
   • Grisoft: I-Worm/VB.LG
   • Eset: Win32/NoonLight.A
   • Bitdefender: Win32.Moonlight.C@mm

Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il crée des fichiers
   • Il emploie son propre moteur de courrier électronique
   • Il diminue les réglages de sécurité
   • Il modifie des registres

Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\JAVA\CLASES\BIN\service.exe
   • %SYSDIR%\APPLOG\Sys\smss.exe
   • %SYSDIR%\run32dll.exe
   • %WINDIR%\Systask.exe
   • %SYSDIR%\dllcache\S-1-5-21-3407528163-1890605801-2494157004-500_Classes\MSOWCF.cmd
   • %WINDIR%\Brico.cmd
   • %WINDIR%\command.com
   • %SYSDIR%\remotesp.cmd
   • %SYSDIR%\MySqld-nt.cmd
   • %HOME%\Start Menu\Programs\startup\MySqld-nt Start.cmd
   • %WINDIR%\COMMAND\SETRAMD.cmd

Il crée les répertoires suivants:
   • %WINDIR%\JAVA\CLASES\BIN
   • %WINDIR%\COMMAND

Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %TEMPDIR%\~%valeurs hexa%.tmp

– C:\D4nc1ng_in_the_M0oNLighT.txt Ceci est un fichier texte non malveillant avec le contenu suivant:
   • |------------------------------|
     | Im Alone, Where Is God ?? |
     | i'm Trapped This World |
     | No one's there |
     | YOu StiLL Hurt Me , Why |
     | in The Moon Light ... |
     | i'll ... die .... |
     | I can'T WaiT Tomorrow |
     | is so much to Long |
     | GoodBye Sickness |
     |------------------------------|

– %HOME%\My Documents\M_o_0_n_L_i_g_h_T.txt Ceci est un fichier texte non malveillant avec le contenu suivant:
   • ----------------+-[W32/Moonlight]-+----------
     Created 3-2006 ,Depok City Indonesia,
     Greet's to MyMom,DeathKnight,PsHmV,Retro,
     Alco,LanElitta,An4k2MI***mrg


     |by HellSpawn|
     ---------------------------------------------

– %HOME%\My Documents\iLOVEHErLAN_ELLITTA.txt Ceci est un fichier texte non malveillant avec le contenu suivant:
   • --------------------------------------------
     |Ta GW Masih Di DEpok, GW jg Blom nikah ko |
     |itu semua cm Gosip ko, gw kuliah di *** |
     |MarGonda.. |
     |By KK Loe |
     --------------------------------------------

– %SYSDIR%\winup\msvbvm60.dll
– %SYSDIR%\msvbvm60.dll
– C:\cmd.bat

Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ObjectDockZX"="%WINDIR%\Brico.cmd"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "MooNlightNeverDie"="%SYSDIR%\MySqld-nt.cmd"

Les valeurs des clés de registre suivantes sont supprimées:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "Tok-Cirrhatus-1101"
   • "SaTRio ADie X"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "chaaya bulan"
   • "Bron-Spizaetus-cgglmmrv"
   • "Bron-Spizaetus"
   • "Bron-Spizaetus-cfirltrx"
   • "ADie suka kamu"

Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe]
   • "debugger"="%SYSDIR%\remotesp.cmd"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   • "debugger"="%WINDIR%\command.com"

– [HKCU\Software\VB and VBA Program Settings]
– [HKCU\Software\VB and VBA Program Settings\noGods]
– [HKCU\Software\VB and VBA Program Settings\noGods\appActive]
   • "service.exe"="7LN{8Y"
   • "smss.exe"="xÅa½yG:"

– [HKCU\Software\VB and VBA Program Settings\untukmu\version]
   • "me"="2"

Les clés de registre suivantes sont changées:

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   L'ancienne valeur:
   • "Hidden"=%user defined values%
   • "HideFileExt"=%user defined values%
   • "ShowSuperHidden"=%user defined values%
   La nouvelle valeur:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   L'ancienne valeur:
   • "NoFolderOptions"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "NoFolderOptions"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   L'ancienne valeur:
   • "UncheckedValue"=dword:00000001
   La nouvelle valeur:
   • "UncheckedValue"=dword:00000000

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   L'ancienne valeur:
   • "DisableRegistryTools"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableRegistryTools"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "Shell"="Explorer.exe"
   La nouvelle valeur:
   • "Shell"="explorer.exe, "%WINDIR%\COMMAND\SETRAMD.cmd""

Désactive le Pare-feu du Windows:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   L'ancienne valeur:
   • "Start"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Start"=dword:00000000

– [HKLM\SYSTEM\ControlSet%nombre%\Control\SafeBoot]
   La nouvelle valeur:
   • "AlternateShell"="cmd.exe"

– [HKCR\scrfile]
   L'ancienne valeur:
   • @="Screen Saver"
   La nouvelle valeur:
   • @="File Folder"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   User Shell Folders]
   La nouvelle valeur:
   • "Common Startup"="%SYSDIR%\dllcache\S-1-5-21-3407528163-1890605801-2494157004-500_Classes"

Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:

De:
L'adresse de l'expéditeur est falsifiée.
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.

A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)

Sujet:
Un des suivants:
   • Tolong Aku..
   • Tolong
   • Registration Confirmation
   • Cek This
   • hello
   • RE:bla bla bla
   • RE:HeLLO GuYs

Corps:
Le corps de l'email est un des suivants:

   • hi please see this file

   • hot babe high quality porn

   • free screen saver romance for you

   • Please Visit Our Web Site:http://www.moonLight.com

   • hey free brontok, small_kl & more removal

   • thank's for you register
     your acount details are attached

   • Aku Mencari Wanita yang aku Cintai
     dan cara menggunakan email mass
     Rita

   • ini adalah cara terakhirku ,di lampiran ini terdapat
     foto dan data Wanita tsb Thank's

   • NB:Mohon di teruskan kesahabat anda
     password lampiran 55132098

   • aku mahasiswa Bsi Margonda smt 3

   • yah aku sedang membutuhkan pekerjaan

   • oh ya aku tahu anda dr milis ilmu komputer

   • di lampiran ini terdapat curriculum vittae dan foto saya

Parfois continué par un des suivantes:

   • For security reasons attached file is password protected.
     The password is 55132098

Pièce jointe:
Le nom de fichier de l'attachement est un des suivants:
   • mypic.zip
   • dataKU.ace
   • attach.zip
   • Update.bz2
   • Doc.gz
   • file.bz2
   • thisfile.gz
   • pic.jar

La pièce jointe est une archive contenant une copie du virus

Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • html; xls; mdb; doc; rtf; php"; pps; ppt; txt; tml; asp; wab; eml

La création des adresses pour champ DE:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • B4bb1cool; SpawN; jojo; mansonisme; Yoseph2000; 12050075; CoolMan;
      BabbyBear; Jagung-Bakar; MooNLight; Juwita; Davis; Titta; Anata;
      Emily; HellSpawn; Lia; Fria; admin; SaZZA; BInaSarana; Shit;
      JuwitaNingrum; HackersMinds; telkom; astaga; boleh; PLASA; indo;
      warung; gaul; id

Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • microsoft; .l; htm; rar; zip; www.; ..; virus; suport; MoonMail;
      yoursite; yourdomain; norton; panda; mcafee; Syman; sophos; Trend;
      vaksin; novell

Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • ns1.
   • mx1.
   • mail1.
   • mail.
   • mx.
   • ns.
   • smtp.
   • relay.
   • gate.

P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:   Il cherche les répertoires qui contient une des sous chaîne de caractères suivantes:
   • documen
   • oad
   • shar
   • upload
   • Pictu
   • ambar
   • dokumen

   En cas de succès, les fichiers suivants sont créés:
   • Gallery%espaces vides%.scr
   • Blink 182%espaces vides%.scr
   • Windows Vista setup%espaces vides%.scr
   • Data DosenKu%espaces vides%.scr
   • Titip Folder Jangan DiHapus%espaces vides%.scr
   • Love Song%espaces vides%.scr
   • New mp3 BaraT !!%espaces vides%.scr
   • THe Best Ungu%espaces vides%.scr
   • Norman virus Control 5.18%espaces vides%.scr
   • TutoriaL HAcking%espaces vides%.scr
   • Lagu - Server%espaces vides%.scr
   • RaHasIA%espaces vides%.scr

   Ces fichiers sont copies du Malware.

Arrêt de processus: Les processus avec une des chaînes de caractères suivantes sont terminés:
   • dengines
   • command
   • cleaner
   • access
   • kill box
   • regis
   • config
   • sensasi
   • cmd
   • hijack

Les processus contenant un des titres de fenêtre suivants sont arrêtés:
   • zonEALARM
   • Startup control
   • filewalker
   • ProceXP
   • system Mechanic
   • OfficeSystem
   • Freeze

Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• PECompact

Description insérée par Adriana Popa le mardi 9 janvier 2007
Description mise à jour par Adriana Popa le mardi 9 janvier 2007

Retour . . . .

Produits phares

Plus de produits

Les plus populaires

Tous les produits

Particuliers

Entreprises

Virus Lab

Support avancé

Programme Avira Partner

Particuliers

Entreprises

Une simple évaluation vous suffit ?

Manuels et outils

Produits phares

Plus de produits

Les plus populaires

Tous les produits

Particuliers

Entreprises

Virus Lab

Support avancé

Programme Avira Partner

Particuliers

Entreprises

Une simple évaluation vous suffit ?

Manuels et outils