Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/VB.EX
La date de la dcouverte:08/01/2007
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen lev
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:133.632 Octets
Somme de contrle MD5:c140fa018a75e964c287f254a55fa5e6
Version IVDF:6.37.00.117 - lundi 8 janvier 2007

 Gnral Mthodes de propagation:
   • Email
   • Le rseau local


Les alias:
   •  Mcafee: W32/MoonLight.worm
   •  Kaspersky: Email-Worm.Win32.VB.co
   •  Sophos: W32/Bobandy-F
   •  Eset: Win32/NoonLight.X
   •  Bitdefender: Worm.Moonlight.A


Plateformes / Systmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrt les applications de scurit
   • Il cre des fichiers
   • Il cre des fichiers malveillants
   • Il emploie son propre moteur de courrier lectronique
   • Il diminue les rglages de scurit
   • Il enregistre les frappes de touche
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\%chane de caractres alatoire%\service.exe
   • %WINDIR%\%chane de caractres alatoire%\winlogon.exe
   • %WINDIR%\%chane de caractres alatoire%\system.exe
   • %WINDIR%\%chane de caractres alatoire%\regedit.cmd
   • %WINDIR%\%chane de caractres alatoire%\smss.exe
   • %WINDIR%\%chane de caractres alatoire%\%chane de caractres alatoire%.com
   • %WINDIR%\%chane de caractres alatoire%\%chane de caractres alatoire%.exe
   • %WINDIR%\lsass.exe
   • %SYSDIR%\%chane de caractres alatoire%\%chane de caractres alatoire%.cmd
   • %WINDIR%\%chane de caractres alatoire%.exe
   • %SYSDIR%\%chane de caractres alatoire%.exe
   • %HOME%\My Documents\%toutes les sous-rpertoires%\%nom de liste actuelle%.exe
   • C:\RealPlayer13-5GOLD.exe
   • C:\Icon Cool-Editor 3.4.30315.exe
   • C:\CheatEngine52.exe
   • C:\framework-4.4.exe
   • C:\Vista Transformation Pack 4.0.exe
   • C:\Pack_Vista_Inspirat_1.6.exe
   • C:\DeepUnfreezerU1.6.exe
   • C:\Len
   • C:\Pack_Longhorn_Inspirat_1.6_code32547.exe
   • C:\TeamViewer_Setup.exe
   • C:\Licence.exe
   • C:\Pictures.exe
   • C:\Secret.exe
   • C:\Documents.exe
   • C:\Vivid.exe
   • C:\update.exe
   • C:\XXX.exe
   • C:\cool.exe
   • C:\vitae.exe
   • C:\error.exe



Il se copie dans des fichiers compresss l'emplacement suivant :
   • %WINDIR%\%chane de caractres alatoire%\MYpIC.zip



Il cre le rpertoire suivant:
   • %WINDIR%\%chane de caractres alatoire%



Les fichiers suivants sont crs:

Fichier inoffensif:
   • %WINDIR%\onceinabluemoon.mid

%SYSDIR%\systear.dll
%WINDIR%\MooNlight.txt Ceci est un fichier texte non malveillant avec le contenu suivant:
   • [Lunalight]
     
     I-WorM.LunaLIGHT.b Aliase W32/MoonLight.P@mm
     Copyleft @ Devil.inc

%WINDIR%\moonlight.dll Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: TR/Moonlight.DLL.Dam

%SYSDIR%\msvbvm60.dll
%WINDIR%\cypreg.dll

 Registre Les cls de registre suivantes sont ajoutes afin d'excuter des processus aprs le redmarrage:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%chane de caractres alatoire%"="%SYSDIR%\%chane de caractres alatoire%.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%chane de caractres alatoire%"="%WINDIR%\%chane de caractres alatoire%.exe"



Les valeurs des cls de registre suivantes sont supprimes:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "avgnt"
   • "drv_st_key"
   • "norman_zanda"
   • "MSMSG"
   • "Winamp"
   • "Word"
   • "Driver"
   • "WinUpdateSupervisor"
   • "Task"
   • "dago"
   • "SMA_nya_Artika"
   • "Putri_Indonesia"
   • "BabelPath"
   • "Alumni Smansa"
   • "ViriSetup"
   • "SMAN1_Pangkalpinang"
   • "Putri_Bangka"
   • "SysYuni"
   • "SysDiaz"
   • "SysRia"
   • "Pluto"
   • "DllHost"
   • "SaTRio ADie X"
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "Bron-Spizaetus"
   • "ADie suka kamu"
   • "winfix"
   • "templog"
   • "service"
   • "Grogotix"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "avgnt"
   • "drv_st_key"
   • "norman_zanda"
   • "MSMSG"
   • "Winamp"
   • "Word"
   • "Driver"
   • "WinUpdateSupervisor"
   • "Task"
   • "dago"
   • "SMA_nya_Artika"
   • "Putri_Indonesia"
   • "BabelPath"
   • "Alumni Smansa"
   • "ViriSetup"
   • "SMAN1_Pangkalpinang"
   • "Putri_Bangka"
   • "SysYuni"
   • "SysDiaz"
   • "SysRia"
   • "Pluto"
   • "DllHost"
   • "SaTRio ADie X"
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "Bron-Spizaetus"
   • "ADie suka kamu"
   • "winfix"
   • "templog"
   • "service"
   • "Grogotix"



Les cls de registre suivantes sont changes:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "Shell"="Explorer.exe"
   La nouvelle valeur:
   • "Shell"="explorer.exe, "%WINDIR%\%chane de caractres alatoire%\%chane de caractres alatoire%.exe""

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   L'ancienne valeur:
   • "load"=""
   La nouvelle valeur:
   • "load"=""%WINDIR%\%chane de caractres alatoire%\%chane de caractres alatoire%.com""

Diffrents rglages pour Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   L'ancienne valeur:
   • "Hidden"=%rglages dfinis par l'utilisateur%
   • "HideFileExt"=%rglages dfinis par l'utilisateur%
   • "ShowSuperHidden"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

[HKCR\scrfile]
   L'ancienne valeur:
   • @="Screen Saver"
   La nouvelle valeur:
   • @="File Folder"

[HKCR\exefile]
   L'ancienne valeur:
   • @="Application"
   La nouvelle valeur:
   • @="File Folder"

[HKLM\SOFTWARE\Classes\exefile]
   L'ancienne valeur:
   • @="Application"
   La nouvelle valeur:
   • @="File Folder"

Dsactive le Pare-feu du Windows:
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   L'ancienne valeur:
   • "Start"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "Start"=dword:00000000

Diffrents rglages pour Explorer:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   L'ancienne valeur:
   • "UncheckedValue"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "UncheckedValue"=dword:00000000

[HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   L'ancienne valeur:
   • "DisableConfig"=%rglages dfinis par l'utilisateur%
   • "DisableSR"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "DisableConfig"=dword:00000001
   • "DisableSR"=dword:00000001

[HKLM\SYSTEM\ControlSet001\Control\SafeBoot]
   L'ancienne valeur:
   • "AlternateShell"="cmd.exe"
   La nouvelle valeur:
   • "AlternateShell"="%chane de caractres alatoire%.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe]
   La nouvelle valeur:
   • "debugger"="%WINDIR%\notepad.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   La nouvelle valeur:
   • "debugger"="%WINDIR%\%chane de caractres alatoire%\regedit.cmd"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\rstrui.exe]
   La nouvelle valeur:
   • "debugger"="%WINDIR%\notepad.exe"

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
Adresses gnres. Ne pas supposer pas que c'tait l'intention de l'expditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infect ou il est possible qu'il ne soit pas du tout infect. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous tes infect. Ceci pourrait galement ne pas tre le cas.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.


Sujet:
Un des suivants:
   • Tolong Aku..
   • Tolong
   • Aku Mencari Wanita yang aku Cintai
   • miss Indonesian
   • Cek This
   • hello
   • Japannes Porn



Corps:
Le corps de l'email est une des lignes:
   • dan cara menggunakan email mass
   • ini adalah cara terakhirku ,di lampiran ini terdapat
   • foto dan data Wanita tsb Thank's
   • NB:Mohon di teruskan kesahabat anda
   • aku mahasiswa BSI Margonda smt 4
   • yah aku sedang membutuhkan pekerjaan
   • oh ya aku tahu anda dr milis ilmu komputer
   • di lampiran ini terdapat curriculum vittae dan foto saya
   • hi
   • hey Indonesian porn
   • Agnes Monica pic's
   • Fucking With Me :D
   • please read again what i have written to you
   • Hot ...


Pice jointe:
Le nom de fichier de l'attachement est un des suivants:
   • Doc %chane de caractres alatoire de sept digits%.zip
   • file %chane de caractres alatoire de sept digits%.zip
   • hell %chane de caractres alatoire de sept digits%.zip
   • Miyabi %chane de caractres alatoire de sept digits%.zip
   • nadine %chane de caractres alatoire de sept digits%.zip
   • need you %chane de caractres alatoire de sept digits%.zip
   • thisfile %chane de caractres alatoire de sept digits%.zip
   • video %chane de caractres alatoire de sept digits%.zip

La pice jointe est une archive contenant une copie du virus



L'email pourrait ressembler un des suivants:



 Envoie de messages  La cration des adresses pour champ DE:
Pour produire des adresses il utilise les chanes de caractres suivantes:
   • Anton; Firmansyah; Joko; Titta; Lanelitta; Ami; Riri; Fransisca;
      Claudia; Fransiska; Cicilia; sisilia; Hilda; Nadine; Ida; Julia; Nana;
      Joe; CoolMan; Vivi; Valentina; Linda; Rita; sasuke; Davis; Anata;
      Emily; HellSpawn; Lia; Fria; admin; SaZZA; Susi; Agnes; JuwitaNingrum;
      Natalia


Le domaine est un de ceux qui suivent:
   • Lovemail.com
   • hackersmail.com
   • hotmail.com
   • gmail.com
   • msn.com
   • yahoo.com.sg
Il n'envoie pas des emails aux adresses contenant une des chanes de caractres suivantes:
   • security; avira; norman; norton; panda; mcafee; Syman; sophos; Trend;
      vaksin; novell; virus
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacit d'ajouter au dbut du nom de domaine les chanes de caractres suivantes:
   • smtp.
   • mail.
   • ns1.
   • mx1.
   • mail1.
   • mx.
   • mxs.
   • relay.
   • gate.

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.

Il s'autocopie dans les partages rseau suivants:
   • \IPC$
   • \ADMIN$

 Vol d'informations Il essaie de voler l'information suivante:

Une routine de journalisation est commenc aprs que les chanes de caractres suivantes soient tapes:
   • Friendster
   • yahoo
   • gmail
   • login
   • bank
   • hotmail

– Il capture:
     Frappes de touche

 Informations divers  Il vrifie l'existence d'une connexion Internet en contactant le site web suivant:
   • www.google.com

 Dtails de fichier Langage de programmation:
Le fichier a t crit en Visual Basic.

Description insérée par Adriana Popa le vendredi 9 novembre 2007
Description mise à jour par Monica Ghitun le vendredi 9 novembre 2007

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.