Descrizione completa

Nome del virus:	Worm/VB.EX
Scoperto:	08/01/2007
Tipo:	Worm
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio-Alto
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	133.632 Byte
Somma di controllo MD5:	c140fa018a75e964c287f254a55fa5e6
Versione IVDF:	6.37.00.117 - lunedì 8 gennaio 2007

Generale Metodi di propagazione:
   • Email
   • Rete locale

Alias:
   • Mcafee: W32/MoonLight.worm
   • Kaspersky: Email-Worm.Win32.VB.co
   • Sophos: W32/Bobandy-F
   • Eset: Win32/NoonLight.X
   • Bitdefender: Worm.Moonlight.A

Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Duplica file
   • Duplica file “maligni”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Abbassa le impostazioni di sicurezza
   • Registra le battute di tastiera
   • Modifica del registro

File Si copia alle seguenti posizioni:
   • %WINDIR%\%stringa di caratteri casuale%\service.exe
   • %WINDIR%\%stringa di caratteri casuale%\winlogon.exe
   • %WINDIR%\%stringa di caratteri casuale%\system.exe
   • %WINDIR%\%stringa di caratteri casuale%\regedit.cmd
   • %WINDIR%\%stringa di caratteri casuale%\smss.exe
   • %WINDIR%\%stringa di caratteri casuale%\%stringa di caratteri casuale%.com
   • %WINDIR%\%stringa di caratteri casuale%\%stringa di caratteri casuale%.exe
   • %WINDIR%\lsass.exe
   • %SYSDIR%\%stringa di caratteri casuale%\%stringa di caratteri casuale%.cmd
   • %WINDIR%\%stringa di caratteri casuale%.exe
   • %SYSDIR%\%stringa di caratteri casuale%.exe
   • %HOME%\My Documents\%tutte le sottodirectory%\%nome della directory corrente%.exe
   • C:\RealPlayer13-5GOLD.exe
   • C:\Icon Cool-Editor 3.4.30315.exe
   • C:\CheatEngine52.exe
   • C:\framework-4.4.exe
   • C:\Vista Transformation Pack 4.0.exe
   • C:\Pack_Vista_Inspirat_1.6.exe
   • C:\DeepUnfreezerU1.6.exe
   • C:\Len
   • C:\Pack_Longhorn_Inspirat_1.6_code32547.exe
   • C:\TeamViewer_Setup.exe
   • C:\Licence.exe
   • C:\Pictures.exe
   • C:\Secret.exe
   • C:\Documents.exe
   • C:\Vivid.exe
   • C:\update.exe
   • C:\XXX.exe
   • C:\cool.exe
   • C:\vitae.exe
   • C:\error.exe

Copia se stesso dentro un archivio nella seguente posizione:
   • %WINDIR%\%stringa di caratteri casuale%\MYpIC.zip

Crea la seguente directory:
   • %WINDIR%\%stringa di caratteri casuale%

Vengono creati i seguenti file:

– File “non maligno”:
   • %WINDIR%\onceinabluemoon.mid

– %SYSDIR%\systear.dll
– %WINDIR%\MooNlight.txt Questo è un file di testo “non maligno” con il seguente contenuto:
   • [Lunalight]

     I-WorM.LunaLIGHT.b Aliase W32/MoonLight.P@mm
     Copyleft @ Devil.inc

– %WINDIR%\moonlight.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Moonlight.DLL.Dam

– %SYSDIR%\msvbvm60.dll
– %WINDIR%\cypreg.dll

Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%SYSDIR%\%stringa di caratteri casuale%.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%WINDIR%\%stringa di caratteri casuale%.exe"

I valori delle seguenti chiavi di registro vengono rimossi:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "avgnt"
   • "drv_st_key"
   • "norman_zanda"
   • "MSMSG"
   • "Winamp"
   • "Word"
   • "Driver"
   • "WinUpdateSupervisor"
   • "Task"
   • "dago"
   • "SMA_nya_Artika"
   • "Putri_Indonesia"
   • "BabelPath"
   • "Alumni Smansa"
   • "ViriSetup"
   • "SMAN1_Pangkalpinang"
   • "Putri_Bangka"
   • "SysYuni"
   • "SysDiaz"
   • "SysRia"
   • "Pluto"
   • "DllHost"
   • "SaTRio ADie X"
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "Bron-Spizaetus"
   • "ADie suka kamu"
   • "winfix"
   • "templog"
   • "service"
   • "Grogotix"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "avgnt"
   • "drv_st_key"
   • "norman_zanda"
   • "MSMSG"
   • "Winamp"
   • "Word"
   • "Driver"
   • "WinUpdateSupervisor"
   • "Task"
   • "dago"
   • "SMA_nya_Artika"
   • "Putri_Indonesia"
   • "BabelPath"
   • "Alumni Smansa"
   • "ViriSetup"
   • "SMAN1_Pangkalpinang"
   • "Putri_Bangka"
   • "SysYuni"
   • "SysDiaz"
   • "SysRia"
   • "Pluto"
   • "DllHost"
   • "SaTRio ADie X"
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "Bron-Spizaetus"
   • "ADie suka kamu"
   • "winfix"
   • "templog"
   • "service"
   • "Grogotix"

Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • "Shell"="Explorer.exe"
   Nuovo valore:
   • "Shell"="explorer.exe, "%WINDIR%\%stringa di caratteri casuale%\%stringa di caratteri casuale%.exe""

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Valore precedente:
   • "load"=""
   Nuovo valore:
   • "load"=""%WINDIR%\%stringa di caratteri casuale%\%stringa di caratteri casuale%.com""

Varie opzioni di Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valore precedente:
   • "Hidden"=%impostazioni definite dell'utente%
   • "HideFileExt"=%impostazioni definite dell'utente%
   • "ShowSuperHidden"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

– [HKCR\scrfile]
   Valore precedente:
   • @="Screen Saver"
   Nuovo valore:
   • @="File Folder"

– [HKCR\exefile]
   Valore precedente:
   • @="Application"
   Nuovo valore:
   • @="File Folder"

– [HKLM\SOFTWARE\Classes\exefile]
   Valore precedente:
   • @="Application"
   Nuovo valore:
   • @="File Folder"

Disattiva il firewall di Windows:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valore precedente:
   • "Start"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Start"=dword:00000000

Varie opzioni di Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Valore precedente:
   • "UncheckedValue"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "UncheckedValue"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   Valore precedente:
   • "DisableConfig"=%impostazioni definite dell'utente%
   • "DisableSR"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DisableConfig"=dword:00000001
   • "DisableSR"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot]
   Valore precedente:
   • "AlternateShell"="cmd.exe"
   Nuovo valore:
   • "AlternateShell"="%stringa di caratteri casuale%.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe]
   Nuovo valore:
   • "debugger"="%WINDIR%\notepad.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   Nuovo valore:
   • "debugger"="%WINDIR%\%stringa di caratteri casuale%\regedit.cmd"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\rstrui.exe]
   Nuovo valore:
   • "debugger"="%WINDIR%\notepad.exe"

Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:

Da:
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.

A:
– Indirizzi email trovati in specifici file sul sistema.

Oggetto:
Uno dei seguenti:
   • Tolong Aku..
   • Tolong
   • Aku Mencari Wanita yang aku Cintai
   • miss Indonesian
   • Cek This
   • hello
   • Japannes Porn

Corpo dell'email:
Il corpo dell’email è come uno dei seguenti:
   • dan cara menggunakan email mass
   • ini adalah cara terakhirku ,di lampiran ini terdapat
   • foto dan data Wanita tsb Thank's
   • NB:Mohon di teruskan kesahabat anda
   • aku mahasiswa BSI Margonda smt 4
   • yah aku sedang membutuhkan pekerjaan
   • oh ya aku tahu anda dr milis ilmu komputer
   • di lampiran ini terdapat curriculum vittae dan foto saya
   • hi
   • hey Indonesian porn
   • Agnes Monica pic's
   • Fucking With Me :D
   • please read again what i have written to you
   • Hot ...

File allegato:
Il nome del file allegato è uno dei seguenti:
   • Doc %stringa casuale di sette caratteri%.zip
   • file %stringa casuale di sette caratteri%.zip
   • hell %stringa casuale di sette caratteri%.zip
   • Miyabi %stringa casuale di sette caratteri%.zip
   • nadine %stringa casuale di sette caratteri%.zip
   • need you %stringa casuale di sette caratteri%.zip
   • thisfile %stringa casuale di sette caratteri%.zip
   • video %stringa casuale di sette caratteri%.zip

L'allegato è un archivio che contiene una copia del malware stesso.

L'email può presentarsi come una delle seguenti:

Invio di messaggi Generazione dell'indirizzo per il campo FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • Anton; Firmansyah; Joko; Titta; Lanelitta; Ami; Riri; Fransisca;
      Claudia; Fransiska; Cicilia; sisilia; Hilda; Nadine; Ida; Julia; Nana;
      Joe; CoolMan; Vivi; Valentina; Linda; Rita; sasuke; Davis; Anata;
      Emily; HellSpawn; Lia; Fria; admin; SaZZA; Susi; Agnes; JuwitaNingrum;
      Natalia

Il dominio è uno dei seguenti:
   • Lovemail.com
   • hackersmail.com
   • hotmail.com
   • gmail.com
   • msn.com
   • yahoo.com.sg
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • security; avira; norman; norton; panda; mcafee; Syman; sophos; Trend;
      vaksin; novell; virus
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • smtp.
   • mail.
   • ns1.
   • mx1.
   • mail1.
   • mx.
   • mxs.
   • relay.
   • gate.

“Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa più copie di se stesso nelle seguenti condivisioni di rete:
• \IPC$
• \ADMIN$

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– Dopo aver digitato con la tastiera una stringa che corrisponde a una delle seguenti, viene avviata una procedura di “tracciamento”:
   • Friendster
   • yahoo
   • gmail
   • login
   • bank
   • hotmail

– Cattura:
    • Battute di tastiera

Varie Verifica la presenza di una connessione ad internet contattando il seguente sito web:
• www.google.com

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.

Descrizione inserita da Adriana Popa su venerdì 9 novembre 2007
Descrizione aggiornata da Monica Ghitun su venerdì 9 novembre 2007

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti