Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/VB.EX
La date de la découverte:08/01/2007
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:133.632 Octets
Somme de contrôle MD5:c140fa018a75e964c287f254a55fa5e6
Version IVDF:6.37.00.117 - lundi 8 janvier 2007

 Général Méthodes de propagation:
   • Email
   • Le réseau local


Les alias:
   •  Mcafee: W32/MoonLight.worm
   •  Kaspersky: Email-Worm.Win32.VB.co
   •  Sophos: W32/Bobandy-F
   •  Eset: Win32/NoonLight.X
   •  Bitdefender: Worm.Moonlight.A


Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il crée des fichiers
   • Il crée des fichiers malveillants
   • Il emploie son propre moteur de courrier électronique
   • Il diminue les réglages de sécurité
   • Il enregistre les frappes de touche
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\%chaîne de caractères aléatoire%\service.exe
   • %WINDIR%\%chaîne de caractères aléatoire%\winlogon.exe
   • %WINDIR%\%chaîne de caractères aléatoire%\system.exe
   • %WINDIR%\%chaîne de caractères aléatoire%\regedit.cmd
   • %WINDIR%\%chaîne de caractères aléatoire%\smss.exe
   • %WINDIR%\%chaîne de caractères aléatoire%\%chaîne de caractères aléatoire%.com
   • %WINDIR%\%chaîne de caractères aléatoire%\%chaîne de caractères aléatoire%.exe
   • %WINDIR%\lsass.exe
   • %SYSDIR%\%chaîne de caractères aléatoire%\%chaîne de caractères aléatoire%.cmd
   • %WINDIR%\%chaîne de caractères aléatoire%.exe
   • %SYSDIR%\%chaîne de caractères aléatoire%.exe
   • %HOME%\My Documents\%toutes les sous-répertoires%\%nom de liste actuelle%.exe
   • C:\RealPlayer13-5GOLD.exe
   • C:\Icon Cool-Editor 3.4.30315.exe
   • C:\CheatEngine52.exe
   • C:\framework-4.4.exe
   • C:\Vista Transformation Pack 4.0.exe
   • C:\Pack_Vista_Inspirat_1.6.exe
   • C:\DeepUnfreezerU1.6.exe
   • C:\Len
   • C:\Pack_Longhorn_Inspirat_1.6_code32547.exe
   • C:\TeamViewer_Setup.exe
   • C:\Licence.exe
   • C:\Pictures.exe
   • C:\Secret.exe
   • C:\Documents.exe
   • C:\Vivid.exe
   • C:\update.exe
   • C:\XXX.exe
   • C:\cool.exe
   • C:\vitae.exe
   • C:\error.exe



Il se copie dans des fichiers compressés à l'emplacement suivant :
   • %WINDIR%\%chaîne de caractères aléatoire%\MYpIC.zip



Il crée le répertoire suivant:
   • %WINDIR%\%chaîne de caractères aléatoire%



Les fichiers suivants sont créés:

– Fichier inoffensif:
   • %WINDIR%\onceinabluemoon.mid

%SYSDIR%\systear.dll
%WINDIR%\MooNlight.txt Ceci est un fichier texte non malveillant avec le contenu suivant:
   • [Lunalight]
     
     I-WorM.LunaLIGHT.b Aliase W32/MoonLight.P@mm
     Copyleft @ Devil.inc

%WINDIR%\moonlight.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Moonlight.DLL.Dam

%SYSDIR%\msvbvm60.dll
%WINDIR%\cypreg.dll

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%chaîne de caractères aléatoire%"="%SYSDIR%\%chaîne de caractères aléatoire%.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%chaîne de caractères aléatoire%"="%WINDIR%\%chaîne de caractères aléatoire%.exe"



Les valeurs des clés de registre suivantes sont supprimées:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "avgnt"
   • "drv_st_key"
   • "norman_zanda"
   • "MSMSG"
   • "Winamp"
   • "Word"
   • "Driver"
   • "WinUpdateSupervisor"
   • "Task"
   • "dago"
   • "SMA_nya_Artika"
   • "Putri_Indonesia"
   • "BabelPath"
   • "Alumni Smansa"
   • "ViriSetup"
   • "SMAN1_Pangkalpinang"
   • "Putri_Bangka"
   • "SysYuni"
   • "SysDiaz"
   • "SysRia"
   • "Pluto"
   • "DllHost"
   • "SaTRio ADie X"
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "Bron-Spizaetus"
   • "ADie suka kamu"
   • "winfix"
   • "templog"
   • "service"
   • "Grogotix"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "avgnt"
   • "drv_st_key"
   • "norman_zanda"
   • "MSMSG"
   • "Winamp"
   • "Word"
   • "Driver"
   • "WinUpdateSupervisor"
   • "Task"
   • "dago"
   • "SMA_nya_Artika"
   • "Putri_Indonesia"
   • "BabelPath"
   • "Alumni Smansa"
   • "ViriSetup"
   • "SMAN1_Pangkalpinang"
   • "Putri_Bangka"
   • "SysYuni"
   • "SysDiaz"
   • "SysRia"
   • "Pluto"
   • "DllHost"
   • "SaTRio ADie X"
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "Bron-Spizaetus"
   • "ADie suka kamu"
   • "winfix"
   • "templog"
   • "service"
   • "Grogotix"



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "Shell"="Explorer.exe"
   La nouvelle valeur:
   • "Shell"="explorer.exe, "%WINDIR%\%chaîne de caractères aléatoire%\%chaîne de caractères aléatoire%.exe""

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   L'ancienne valeur:
   • "load"=""
   La nouvelle valeur:
   • "load"=""%WINDIR%\%chaîne de caractères aléatoire%\%chaîne de caractères aléatoire%.com""

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   L'ancienne valeur:
   • "Hidden"=%réglages définis par l'utilisateur%
   • "HideFileExt"=%réglages définis par l'utilisateur%
   • "ShowSuperHidden"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

– [HKCR\scrfile]
   L'ancienne valeur:
   • @="Screen Saver"
   La nouvelle valeur:
   • @="File Folder"

– [HKCR\exefile]
   L'ancienne valeur:
   • @="Application"
   La nouvelle valeur:
   • @="File Folder"

– [HKLM\SOFTWARE\Classes\exefile]
   L'ancienne valeur:
   • @="Application"
   La nouvelle valeur:
   • @="File Folder"

Désactive le Pare-feu du Windows:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   L'ancienne valeur:
   • "Start"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Start"=dword:00000000

Différents réglages pour Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   L'ancienne valeur:
   • "UncheckedValue"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "UncheckedValue"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   L'ancienne valeur:
   • "DisableConfig"=%réglages définis par l'utilisateur%
   • "DisableSR"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableConfig"=dword:00000001
   • "DisableSR"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot]
   L'ancienne valeur:
   • "AlternateShell"="cmd.exe"
   La nouvelle valeur:
   • "AlternateShell"="%chaîne de caractères aléatoire%.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe]
   La nouvelle valeur:
   • "debugger"="%WINDIR%\notepad.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   La nouvelle valeur:
   • "debugger"="%WINDIR%\%chaîne de caractères aléatoire%\regedit.cmd"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\rstrui.exe]
   La nouvelle valeur:
   • "debugger"="%WINDIR%\notepad.exe"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.


Sujet:
Un des suivants:
   • Tolong Aku..
   • Tolong
   • Aku Mencari Wanita yang aku Cintai
   • miss Indonesian
   • Cek This
   • hello
   • Japannes Porn



Corps:
Le corps de l'email est une des lignes:
   • dan cara menggunakan email mass
   • ini adalah cara terakhirku ,di lampiran ini terdapat
   • foto dan data Wanita tsb Thank's
   • NB:Mohon di teruskan kesahabat anda
   • aku mahasiswa BSI Margonda smt 4
   • yah aku sedang membutuhkan pekerjaan
   • oh ya aku tahu anda dr milis ilmu komputer
   • di lampiran ini terdapat curriculum vittae dan foto saya
   • hi
   • hey Indonesian porn
   • Agnes Monica pic's
   • Fucking With Me :D
   • please read again what i have written to you
   • Hot ...


Pièce jointe:
Le nom de fichier de l'attachement est un des suivants:
   • Doc %chaîne de caractères aléatoire de sept digits%.zip
   • file %chaîne de caractères aléatoire de sept digits%.zip
   • hell %chaîne de caractères aléatoire de sept digits%.zip
   • Miyabi %chaîne de caractères aléatoire de sept digits%.zip
   • nadine %chaîne de caractères aléatoire de sept digits%.zip
   • need you %chaîne de caractères aléatoire de sept digits%.zip
   • thisfile %chaîne de caractères aléatoire de sept digits%.zip
   • video %chaîne de caractères aléatoire de sept digits%.zip

La pièce jointe est une archive contenant une copie du virus



L'email pourrait ressembler à un des suivants:



 Envoie de messages  La création des adresses pour champ DE:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • Anton; Firmansyah; Joko; Titta; Lanelitta; Ami; Riri; Fransisca;
      Claudia; Fransiska; Cicilia; sisilia; Hilda; Nadine; Ida; Julia; Nana;
      Joe; CoolMan; Vivi; Valentina; Linda; Rita; sasuke; Davis; Anata;
      Emily; HellSpawn; Lia; Fria; admin; SaZZA; Susi; Agnes; JuwitaNingrum;
      Natalia


Le domaine est un de ceux qui suivent:
   • Lovemail.com
   • hackersmail.com
   • hotmail.com
   • gmail.com
   • msn.com
   • yahoo.com.sg
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • security; avira; norman; norton; panda; mcafee; Syman; sophos; Trend;
      vaksin; novell; virus
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • smtp.
   • mail.
   • ns1.
   • mx1.
   • mail1.
   • mx.
   • mxs.
   • relay.
   • gate.

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • \IPC$
   • \ADMIN$

 Vol d'informations Il essaie de voler l'information suivante:

– Une routine de journalisation est commencé après que les chaînes de caractères suivantes soient tapées:
   • Friendster
   • yahoo
   • gmail
   • login
   • bank
   • hotmail

– Il capture:
    • Frappes de touche

 Informations divers  Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
   • www.google.com

 Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Description insérée par Adriana Popa le vendredi 9 novembre 2007
Description mise à jour par Monica Ghitun le vendredi 9 novembre 2007

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.