Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/VB.EX
Scoperto:08/01/2007
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:133.632 Byte
Somma di controllo MD5:c140fa018a75e964c287f254a55fa5e6
Versione IVDF:6.37.00.117 - lunedì 8 gennaio 2007

 Generale Metodi di propagazione:
   • Email
   • Rete locale


Alias:
   •  Mcafee: W32/MoonLight.worm
   •  Kaspersky: Email-Worm.Win32.VB.co
   •  Sophos: W32/Bobandy-F
   •  Eset: Win32/NoonLight.X
   •  Bitdefender: Worm.Moonlight.A


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Duplica file
   • Duplica file “maligni”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Abbassa le impostazioni di sicurezza
   • Registra le battute di tastiera
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %WINDIR%\%stringa di caratteri casuale%\service.exe
   • %WINDIR%\%stringa di caratteri casuale%\winlogon.exe
   • %WINDIR%\%stringa di caratteri casuale%\system.exe
   • %WINDIR%\%stringa di caratteri casuale%\regedit.cmd
   • %WINDIR%\%stringa di caratteri casuale%\smss.exe
   • %WINDIR%\%stringa di caratteri casuale%\%stringa di caratteri casuale%.com
   • %WINDIR%\%stringa di caratteri casuale%\%stringa di caratteri casuale%.exe
   • %WINDIR%\lsass.exe
   • %SYSDIR%\%stringa di caratteri casuale%\%stringa di caratteri casuale%.cmd
   • %WINDIR%\%stringa di caratteri casuale%.exe
   • %SYSDIR%\%stringa di caratteri casuale%.exe
   • %HOME%\My Documents\%tutte le sottodirectory%\%nome della directory corrente%.exe
   • C:\RealPlayer13-5GOLD.exe
   • C:\Icon Cool-Editor 3.4.30315.exe
   • C:\CheatEngine52.exe
   • C:\framework-4.4.exe
   • C:\Vista Transformation Pack 4.0.exe
   • C:\Pack_Vista_Inspirat_1.6.exe
   • C:\DeepUnfreezerU1.6.exe
   • C:\Len
   • C:\Pack_Longhorn_Inspirat_1.6_code32547.exe
   • C:\TeamViewer_Setup.exe
   • C:\Licence.exe
   • C:\Pictures.exe
   • C:\Secret.exe
   • C:\Documents.exe
   • C:\Vivid.exe
   • C:\update.exe
   • C:\XXX.exe
   • C:\cool.exe
   • C:\vitae.exe
   • C:\error.exe



Copia se stesso dentro un archivio nella seguente posizione:
   • %WINDIR%\%stringa di caratteri casuale%\MYpIC.zip



Crea la seguente directory:
   • %WINDIR%\%stringa di caratteri casuale%



Vengono creati i seguenti file:

– File “non maligno”:
   • %WINDIR%\onceinabluemoon.mid

%SYSDIR%\systear.dll
%WINDIR%\MooNlight.txt Questo è un file di testo “non maligno” con il seguente contenuto:
   • [Lunalight]
     
     I-WorM.LunaLIGHT.b Aliase W32/MoonLight.P@mm
     Copyleft @ Devil.inc

%WINDIR%\moonlight.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Moonlight.DLL.Dam

%SYSDIR%\msvbvm60.dll
%WINDIR%\cypreg.dll

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%SYSDIR%\%stringa di caratteri casuale%.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%WINDIR%\%stringa di caratteri casuale%.exe"



I valori delle seguenti chiavi di registro vengono rimossi:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "avgnt"
   • "drv_st_key"
   • "norman_zanda"
   • "MSMSG"
   • "Winamp"
   • "Word"
   • "Driver"
   • "WinUpdateSupervisor"
   • "Task"
   • "dago"
   • "SMA_nya_Artika"
   • "Putri_Indonesia"
   • "BabelPath"
   • "Alumni Smansa"
   • "ViriSetup"
   • "SMAN1_Pangkalpinang"
   • "Putri_Bangka"
   • "SysYuni"
   • "SysDiaz"
   • "SysRia"
   • "Pluto"
   • "DllHost"
   • "SaTRio ADie X"
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "Bron-Spizaetus"
   • "ADie suka kamu"
   • "winfix"
   • "templog"
   • "service"
   • "Grogotix"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "avgnt"
   • "drv_st_key"
   • "norman_zanda"
   • "MSMSG"
   • "Winamp"
   • "Word"
   • "Driver"
   • "WinUpdateSupervisor"
   • "Task"
   • "dago"
   • "SMA_nya_Artika"
   • "Putri_Indonesia"
   • "BabelPath"
   • "Alumni Smansa"
   • "ViriSetup"
   • "SMAN1_Pangkalpinang"
   • "Putri_Bangka"
   • "SysYuni"
   • "SysDiaz"
   • "SysRia"
   • "Pluto"
   • "DllHost"
   • "SaTRio ADie X"
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "Bron-Spizaetus"
   • "ADie suka kamu"
   • "winfix"
   • "templog"
   • "service"
   • "Grogotix"



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • "Shell"="Explorer.exe"
   Nuovo valore:
   • "Shell"="explorer.exe, "%WINDIR%\%stringa di caratteri casuale%\%stringa di caratteri casuale%.exe""

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Valore precedente:
   • "load"=""
   Nuovo valore:
   • "load"=""%WINDIR%\%stringa di caratteri casuale%\%stringa di caratteri casuale%.com""

Varie opzioni di Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valore precedente:
   • "Hidden"=%impostazioni definite dell'utente%
   • "HideFileExt"=%impostazioni definite dell'utente%
   • "ShowSuperHidden"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

– [HKCR\scrfile]
   Valore precedente:
   • @="Screen Saver"
   Nuovo valore:
   • @="File Folder"

– [HKCR\exefile]
   Valore precedente:
   • @="Application"
   Nuovo valore:
   • @="File Folder"

– [HKLM\SOFTWARE\Classes\exefile]
   Valore precedente:
   • @="Application"
   Nuovo valore:
   • @="File Folder"

Disattiva il firewall di Windows:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valore precedente:
   • "Start"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Start"=dword:00000000

Varie opzioni di Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Valore precedente:
   • "UncheckedValue"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "UncheckedValue"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   Valore precedente:
   • "DisableConfig"=%impostazioni definite dell'utente%
   • "DisableSR"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DisableConfig"=dword:00000001
   • "DisableSR"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot]
   Valore precedente:
   • "AlternateShell"="cmd.exe"
   Nuovo valore:
   • "AlternateShell"="%stringa di caratteri casuale%.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe]
   Nuovo valore:
   • "debugger"="%WINDIR%\notepad.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   Nuovo valore:
   • "debugger"="%WINDIR%\%stringa di caratteri casuale%\regedit.cmd"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\rstrui.exe]
   Nuovo valore:
   • "debugger"="%WINDIR%\notepad.exe"

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.


Oggetto:
Uno dei seguenti:
   • Tolong Aku..
   • Tolong
   • Aku Mencari Wanita yang aku Cintai
   • miss Indonesian
   • Cek This
   • hello
   • Japannes Porn



Corpo dell'email:
Il corpo dell’email è come uno dei seguenti:
   • dan cara menggunakan email mass
   • ini adalah cara terakhirku ,di lampiran ini terdapat
   • foto dan data Wanita tsb Thank's
   • NB:Mohon di teruskan kesahabat anda
   • aku mahasiswa BSI Margonda smt 4
   • yah aku sedang membutuhkan pekerjaan
   • oh ya aku tahu anda dr milis ilmu komputer
   • di lampiran ini terdapat curriculum vittae dan foto saya
   • hi
   • hey Indonesian porn
   • Agnes Monica pic's
   • Fucking With Me :D
   • please read again what i have written to you
   • Hot ...


File allegato:
Il nome del file allegato è uno dei seguenti:
   • Doc %stringa casuale di sette caratteri%.zip
   • file %stringa casuale di sette caratteri%.zip
   • hell %stringa casuale di sette caratteri%.zip
   • Miyabi %stringa casuale di sette caratteri%.zip
   • nadine %stringa casuale di sette caratteri%.zip
   • need you %stringa casuale di sette caratteri%.zip
   • thisfile %stringa casuale di sette caratteri%.zip
   • video %stringa casuale di sette caratteri%.zip

L'allegato è un archivio che contiene una copia del malware stesso.



L'email può presentarsi come una delle seguenti:



 Invio di messaggi  Generazione dell'indirizzo per il campo FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • Anton; Firmansyah; Joko; Titta; Lanelitta; Ami; Riri; Fransisca;
      Claudia; Fransiska; Cicilia; sisilia; Hilda; Nadine; Ida; Julia; Nana;
      Joe; CoolMan; Vivi; Valentina; Linda; Rita; sasuke; Davis; Anata;
      Emily; HellSpawn; Lia; Fria; admin; SaZZA; Susi; Agnes; JuwitaNingrum;
      Natalia


Il dominio è uno dei seguenti:
   • Lovemail.com
   • hackersmail.com
   • hotmail.com
   • gmail.com
   • msn.com
   • yahoo.com.sg
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • security; avira; norman; norton; panda; mcafee; Syman; sophos; Trend;
      vaksin; novell; virus
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • smtp.
   • mail.
   • ns1.
   • mx1.
   • mail1.
   • mx.
   • mxs.
   • relay.
   • gate.

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa più copie di se stesso nelle seguenti condivisioni di rete:
   • \IPC$
   • \ADMIN$

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– Dopo aver digitato con la tastiera una stringa che corrisponde a una delle seguenti, viene avviata una procedura di “tracciamento”:
   • Friendster
   • yahoo
   • gmail
   • login
   • bank
   • hotmail

– Cattura:
    • Battute di tastiera

 Varie  Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • www.google.com

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.

Descrizione inserita da Adriana Popa su venerdì 9 novembre 2007
Descrizione aggiornata da Monica Ghitun su venerdì 9 novembre 2007

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.