Nome del virus:Worm/VB.BY.3
Scoperto:04/07/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:35.176 Byte
Somma di controllo MD5:72ac420Cef8d898ab1a66c5d79ce7d6b
Versione VDF:6.35.00.115
Versione IVDF:6.35.00.141 - lunedì 10 luglio 2006

 Generale Metodi di propagazione:
   • Email
   • Peer to Peer


Alias:
   •  Mcafee: W32/MoonLight.worm
   •  Kaspersky: Email-Worm.Win32.VB.by
   •  TrendMicro: WORM_BRONTOK.AH
   •  VirusBuster: I-Worm.VB.WEI
   •  Eset: Win32/NoonLight.F
   •  Bitdefender: Worm.Spawner.VB.BY


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica un file
   • Utilizza un proprio motore SMTP per l'invio di email
   • Abbassa le impostazioni di sicurezza
   • Registra le battute di tastiera
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\%numero%.exe
   • %SYSDIR%\X%numero%go\Z%numero%cie.cmd
   • %HOME%\Templates\%numero%Z\TUX%numero%.exe
   • %HOME%\Start Menu\Programs\startup\sql.cmd
   • %WINDIR%\M%numero%\Ja%numero%bLay.com
   • %WINDIR%\Ti%numero%ta.exe
   • %WINDIR%\sa-%numero%.exe
   • %WINDIR%\M%numero%\smss.exe
   • %WINDIR%\M%numero%\EmangEloh.exe
   • %HOME%\Templates\%numero%Z\winlogon.exe
   • %HOME%\Templates\%numero%Z\service.exe



Viene creato il seguente file:

%SYSDIR%\msvbvm60.dll

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "T%numero%"="%WINDIR%\sa-%numero%.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "T%numero%"="%SYSDIR%\%numero%.exe"



I valori delle seguenti chiavi di registro vengono rimossi:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ADie suka kamu
   • Bron-Spizaetus-cfirltrx
   • Bron-Spizaetus
   • Bron-Spizaetus-cgglmmrv
   • dkernel
   • lexplorer
   • YourUnintendes
   • YourUnintended
   • TryingToSpeak

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • SaTRio ADie X
   • Tok-Cirrhatus-1101
   • MomentEverComes
   • AllMyBallance
   • Tok-Cirrhatus



Vengono aggiunte le seguenti chiavi di registro:

– HKCU\Software\VB and VBA Program Settings\noGods

– HKCU\Software\VB and VBA Program Settings\noGods\appActive
   • "winlogon.exe"="£¸ð"
   • "EmangEloh.exe"="i~¶Q"
   • "smss.exe"="r"
   • "service.exe"="²ê"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe
   • debugger"="%WINDIR%\notepad.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe
   • "debugger"="%WINDIR%\notepad.exe"

– HKCU\Software\VB and VBA Program Settings\untukmu\version
   • "me"="4"

– HKCR\scrfile
   • "(Default)"="File Folder"



Vengono cambiate le seguenti chiavi di registro:

– HKLM\SYSTEM\ControlSet002\Control\SafeBoot
   Valore precedente:
   • "AlternateShell"="cmd.exe"
   Nuovo valore:
   • "AlternateShell"="%numero%.exe"

– HKLM\SYSTEM\ControlSet001\Control\SafeBoot
   Valore precedente:
   • "AlternateShell"="cmd.exe"
   Nuovo valore:
   • "AlternateShell"="%numero%.exe"

Disattiva il firewall di Windows:
– HKLM\SYSTEM\ControlSet001\Services\SharedAccess
   Valore precedente:
   • "Start"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Start"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Valore precedente:
   • "ShowSuperHidden"=%impostazioni definite dell'utente%
   • "Hidden"=%impostazioni definite dell'utente%
   • "HideFileExt"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "ShowSuperHidden"=dword:00000000
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001

Disattiva il Regedit e il Task Manager:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Valore precedente:
   • "DisableRegistryTools"=dword:00000000
   Nuovo valore:
   • "DisableRegistryTools"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Valore precedente:
   • "Userinit"="%SYSDIR%\userinit.exe"
   • "Shell"="explorer.exe"
   Nuovo valore:
   • "Userinit"="%SYSDIR%\userinit.exe , "%WINDIR%\M%numero%\Ja%numberbLay.com""
   • "Shell"="explorer.exe, "C:\Documents and Settings\cda101\Templates\O%numero%Z\TuxO%numero%Z.exe""

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)


Oggetto:
Uno dei seguenti:
   • Tolong Aku..
   • Tolong
   • hi please see this file
   • hey Indonesian porn Tiara lestari pic's
   • Registration Confirmation
   • Cek This
   • hello
   • RE:bla bla bla
   • RE:HeLLO GuYs



Corpo dell'email:
Il corpo dell’email è come uno dei seguenti:
   • please read again what i have written to you
   • thank's for you register your acount details are attached
   • Aku Mencari Wanita yang aku Cintai
   • dan cara menggunakan email mass
   • ini adalah cara terakhirku ,di lampiran ini terdapat
   • foto dan data Wanita tsb Thank's
   • NB:Mohon di teruskan kesahabat anda
   • aku mahasiswa Bsi Margonda smt 3
   • yah aku sedang membutuhkan pekerjaan
   • oh ya aku tahu anda dr milis ilmu komputer
   • di lampiran ini terdapat curriculum vittae dan foto saya
   • password lampiran 55132098
   • For security reasons attached file is password protected. The password is 55132098
Il corpo dell’email è come il seguente:

   • free screen saver romance for you.
      Please Visit Our Web Site
     http://www.moonLight.com


File allegato:
Il nome del file allegato è uno dei seguenti:
   • curriculum vittae.zip
   • USE_RAR_To_Extract.ace
   • ZIPPED.zip
   • FILEATTACH.bz2
   • Doc.gz
   • file.bz2
   • thisfile.gz
   • TITTA'S Picture.jar

L'allegato è un archivio che contiene una copia del malware stesso.

 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • txt
   • tml
   • asp
   • wab
   • eml
   • doc
   • php
   • rtf


Generazione dell'indirizzo per il campo FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • B4bb1cool; mansonisme; Yoseph2000; 12050075; CoolMan; BabbyBear;
      Jagung-Bakar; MooNLight; Rita; sasUK3; Davis; Titta; Anata; Emily;
      HellSpawn; Lia; Fria; admin; SaZZA; BInaSarana; JuwitaNingrum;
      HackersMinds



Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • bank; bront; dengines; Friendster; login; mcafee; MoonMail; norman;
      norton; novell; panda; sensasi; sophos; suport; Syman; Trend; vaksin;
      virus; xxx; yahoogroup; yourdomain; yoursite; yyyy


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • smtp.
   • mail.
   • ns1.
   • mx1.
   • mail1.
   • mx.
   • mxs.
   • relay.
   • gate.

 P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:


   Cerca le directory che contengono una delle seguenti sottostringhe:
   • upload
   • share
   • download

   Se riuscito, i seguenti file vengono creati:
   • TutoriaL HAcking%spazi vuoti%.exe
   • Lagu - Server%spazi vuoti%.scr
   • Data DosenKu%spazi vuoti%.exe
   • Titip Folder Jangan DiHapus%spazi vuoti%.exe
   • Love Song%spazi vuoti%.scr
   • New mp3 BaraT !!%spazi vuoti%.exe
   • THe Best Ungu%spazi vuoti%.scr
   • Blink 182%spazi vuoti%.exe
   • Norman virus Control 5.18%spazi vuoti%.exe
   • download%spazi vuoti%.scr
   • Gallery%spazi vuoti%.scr
   • RaHasIA%spazi vuoti%.exe

   Questi file sono copie del malware stesso.

 Backdoor Contatta il server:
Il seguente:
   • http://www.apasajalah.host.sk/**********

Come risultato può inviare alcune informazioni. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.


Invia informazioni riguardanti:
    • Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte

 Sottrazione di informazioni     • Battute di tastiera

 Varie Stringa:
In più contiene le seguenti stringhe:
   • :: The NewMoonLight ::
   • Created by HeLLsPAwn A.K.A B4bb1cool
   • (c) 2006 Depok ~ Indonesia

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Irina Boldea su giovedì 10 agosto 2006
Descrizione aggiornata da Irina Boldea su venerdì 11 agosto 2006

Indietro . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Tutti i diritti riservati.

Il Mio Account

https:// Questa finestra è criptata per tua sicurezza.