Descrizione completa

Nume:	Worm/VB.BY.3
Descoperit pe data de:	04/07/2006
Tip:	Vierme
ITW:	Nu
Numar infectii raportate:	Scazut
Potential de raspandire:	Mediu spre ridicat
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	35.176 Bytes
MD5:	72ac420Cef8d898ab1a66c5d79ce7d6b
Versiune VDF:	6.35.00.115
Versiune IVDF:	6.35.00.141 - lunedì 10 luglio 2006

General Metode de raspandire:
   • Email
   • Peer to Peer

Alias:
   • Mcafee: W32/MoonLight.worm
   • Kaspersky: Email-Worm.Win32.VB.by
   • TrendMicro: WORM_BRONTOK.AH
   • VirusBuster: I-Worm.VB.WEI
   • Eset: Win32/NoonLight.F
   • Bitdefender: Worm.Spawner.VB.BY

Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Creeaza un fisier
   • Utilizeaza propriul motor de email
   • Reduce setarile de securitate
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri

Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\%numar%.exe
   • %SYSDIR%\X%numar%go\Z%numar%cie.cmd
   • %HOME%\Templates\%numar%Z\TUX%numar%.exe
   • %HOME%\Start Menu\Programs\startup\sql.cmd
   • %WINDIR%\M%numar%\Ja%numar%bLay.com
   • %WINDIR%\Ti%numar%ta.exe
   • %WINDIR%\sa-%numar%.exe
   • %WINDIR%\M%numar%\smss.exe
   • %WINDIR%\M%numar%\EmangEloh.exe
   • %HOME%\Templates\%numar%Z\winlogon.exe
   • %HOME%\Templates\%numar%Z\service.exe

Este creat fisierul:

– %SYSDIR%\msvbvm60.dll

Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "T%numar%"="%WINDIR%\sa-%numar%.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "T%numar%"="%SYSDIR%\%numar%.exe"

Valorile urmatoarelor chei sunt sterse din registrii sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ADie suka kamu
   • Bron-Spizaetus-cfirltrx
   • Bron-Spizaetus
   • Bron-Spizaetus-cgglmmrv
   • dkernel
   • lexplorer
   • YourUnintendes
   • YourUnintended
   • TryingToSpeak

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • SaTRio ADie X
   • Tok-Cirrhatus-1101
   • MomentEverComes
   • AllMyBallance
   • Tok-Cirrhatus

Urmatoarele chei sunt adaugate in registrii sistemului:

– HKCU\Software\VB and VBA Program Settings\noGods

– HKCU\Software\VB and VBA Program Settings\noGods\appActive
   • "winlogon.exe"="£¸ð"
   • "EmangEloh.exe"="i~¶Q"
   • "smss.exe"="r"
   • "service.exe"="²ê"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe
   • debugger"="%WINDIR%\notepad.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe
   • "debugger"="%WINDIR%\notepad.exe"

– HKCU\Software\VB and VBA Program Settings\untukmu\version
   • "me"="4"

– HKCR\scrfile
   • "(Default)"="File Folder"

Urmatoarele chei din registri sunt modificate:

– HKLM\SYSTEM\ControlSet002\Control\SafeBoot
   Vechea valoare:
   • "AlternateShell"="cmd.exe"
   Noua valoare:
   • "AlternateShell"="%numar%.exe"

– HKLM\SYSTEM\ControlSet001\Control\SafeBoot
   Vechea valoare:
   • "AlternateShell"="cmd.exe"
   Noua valoare:
   • "AlternateShell"="%numar%.exe"

Dezactiveaza Windows Firewall:
– HKLM\SYSTEM\ControlSet001\Services\SharedAccess
   Vechea valoare:
   • "Start"=%setarile utilizatorului%
   Noua valoare:
   • "Start"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Vechea valoare:
   • "ShowSuperHidden"=%setarile utilizatorului%
   • "Hidden"=%setarile utilizatorului%
   • "HideFileExt"=%setarile utilizatorului%
   Noua valoare:
   • "ShowSuperHidden"=dword:00000000
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001

Dezactivarea programelor Regedit si Task Manager:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Vechea valoare:
   • "DisableRegistryTools"=dword:00000000
   Noua valoare:
   • "DisableRegistryTools"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Vechea valoare:
   • "Userinit"="%SYSDIR%\userinit.exe"
   • "Shell"="explorer.exe"
   Noua valoare:
   • "Userinit"="%SYSDIR%\userinit.exe , "%WINDIR%\M%numar%\Ja%numberbLay.com""
   • "Shell"="explorer.exe, "C:\Documents and Settings\cda101\Templates\O%numar%Z\TuxO%numar%Z.exe""

Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:

De la:
Adresa este falsificata.
Adrese generate. Va rugam nu presupuneti ca a fost intentia expeditorului sa va trimita acest email. Este posibil ca el sa nu stie ca este infectat sau chiar sa nu aiba sistemul infectat. In plus, este posibil sa primiti email-uri returnate care sa va indice ca sunteti infectat, lucru care poate fi de asemenea fals.

Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)

Subiect:
Unul din urmatoarele:
   • Tolong Aku..
   • Tolong
   • hi please see this file
   • hey Indonesian porn Tiara lestari pic's
   • Registration Confirmation
   • Cek This
   • hello
   • RE:bla bla bla
   • RE:HeLLO GuYs

Corpul email-ului:
Corpul email-ului este unul din textele:
   • please read again what i have written to you
   • thank's for you register your acount details are attached
   • Aku Mencari Wanita yang aku Cintai
   • dan cara menggunakan email mass
   • ini adalah cara terakhirku ,di lampiran ini terdapat
   • foto dan data Wanita tsb Thank's
   • NB:Mohon di teruskan kesahabat anda
   • aku mahasiswa Bsi Margonda smt 3
   • yah aku sedang membutuhkan pekerjaan
   • oh ya aku tahu anda dr milis ilmu komputer
   • di lampiran ini terdapat curriculum vittae dan foto saya
   • password lampiran 55132098
   • For security reasons attached file is password protected. The password is 55132098
Corpul email-ului este:

   • free screen saver romance for you.
      Please Visit Our Web Site
     http://www.moonLight.com

Atasament:
Numele fisierului atasat este unul din urmatoarele:
   • curriculum vittae.zip
   • USE_RAR_To_Extract.ace
   • ZIPPED.zip
   • FILEATTACH.bz2
   • Doc.gz
   • file.bz2
   • thisfile.gz
   • TITTA'S Picture.jar

Atasamentul este o arhiva ce contine chiar o copie malware.

Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • txt
   • tml
   • asp
   • wab
   • eml
   • doc
   • php
   • rtf

Genereaza adrese pentru campul expeditorului:
Pentru a genera adrese foloseste urmatoarele texte:
   • B4bb1cool; mansonisme; Yoseph2000; 12050075; CoolMan; BabbyBear;
      Jagung-Bakar; MooNLight; Rita; sasUK3; Davis; Titta; Anata; Emily;
      HellSpawn; Lia; Fria; admin; SaZZA; BInaSarana; JuwitaNingrum;
      HackersMinds

Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • bank; bront; dengines; Friendster; login; mcafee; MoonMail; norman;
      norton; novell; panda; sensasi; sophos; suport; Syman; Trend; vaksin;
      virus; xxx; yahoogroup; yourdomain; yoursite; yyyy

Prefixeaza domeniile adreselor de email:
Pentru a afla IP-ul serverului de mail, poate adauga inaintea domeniului urmatoarele siruri de caractere:
   • smtp.
   • mail.
   • ns1.
   • mx1.
   • mail1.
   • mx.
   • mxs.
   • relay.
   • gate.

P2P Pentru a infecta alte sisteme din retele Peer-to-Peer, efectueaza urmatarele operatii:

–   Cauta directoarele care au in numele lor unul din urmatoarele texte:
   • upload
   • share
   • download

   Daca reuseste, sunt create urmatoarele fisiere:
   • TutoriaL HAcking%spatii libere%.exe
   • Lagu - Server%spatii libere%.scr
   • Data DosenKu%spatii libere%.exe
   • Titip Folder Jangan DiHapus%spatii libere%.exe
   • Love Song%spatii libere%.scr
   • New mp3 BaraT !!%spatii libere%.exe
   • THe Best Ungu%spatii libere%.scr
   • Blink 182%spatii libere%.exe
   • Norman virus Control 5.18%spatii libere%.exe
   • download%spatii libere%.scr
   • Gallery%spatii libere%.scr
   • RaHasIA%spatii libere%.exe

   Aceste fişiere sunt copii ale malware-ului.

Backdoor Servere contactate:

• http://www.apasajalah.host.sk/**********

Astfel se pot transmite informatii. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.

Trimte informatii despre:
• Informatiile colectate, descrise in sectiunea

Furt de informatii • Datele introduse de la tastatura

Alte informatii Sir de caractere:
In plus, mai contine urmatoarele siruri de caractere:
   • :: The NewMoonLight ::
   • Created by HeLLsPAwn A.K.A B4bb1cool
   • (c) 2006 Depok ~ Indonesia

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Visual Basic.

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Irina Boldea su giovedì 10 agosto 2006
Descrizione aggiornata da Irina Boldea su venerdì 11 agosto 2006

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti