VírusWorm/Levona.A
Data em que surgiu:05/07/2006
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:De médio a elevado
Nível de risco:De médio a elevado
Ficheiro estático:Sim
Tamanho:43.008 Bytes
MD5 checksum:4d28947f612176e9be3e24202c7a5508
Versão VDF:6.35.00.120
Versão IVDF:6.35.00.146 - terça-feira, 11 de julho de 2006

 Vulgarmente Meios de transmissão:
   • E-mail
   • Peer to Peer


Alias:
   •  Mcafee: W32/Avon@MM
   •  Kaspersky: Email-Worm.Win32.Levona.a
   •  TrendMicro: WORM_LEVONA.A
   •  VirusBuster: iworm I-Worm.Levona.A
   •  Eset: Win32/Levona.A worm
   •  Bitdefender: Win32.Worm.Levona.A


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\Emma.exe
   • %SYSDIR%\Nova.exe
   • %SYSDIR%\Alisa.exe
   • %WINDIR%\Mstry.exe

   • C:\Program Files\Common Files\Renova.exe
   • D:\Program Files\Common Files\Renova.exe
   • E:\Program Files\Common Files\Renova.exe
   • F:\Program Files\Common Files\Renova.exe
   • G:\Program Files\Common Files\Renova.exe

   • c:\\winnt\regedit.exe
   • c:\windows\regedit.exe
   • c:\winnt\system32\regedit.exe
   • c:\windows\system32\regedit.exe
   • D:\winnt\regedit.exe
   • D:\windows\regedit.exe
   • D:\winnt\system32\regedit.exe
   • D:\windows\system32\regedit.exe
   • E:\winnt\regedit.exe
   • E:\windows\regedit.exe
   • E:\winnt\system32\regedit.exe
   • E:\WINDOWS\system32\regedit.exe
   • F:\WINNT\regedit.exe
   • F:\WINDOWS\regedit.exe
   • F:\WINNT\system32\regedit.exe
   • F:\WINDOWS\system32\regedit.exe
   • G:\WINNT\regedit.exe
   • G:\WINDOWS\regedit.exe
   • G:\WINNT\system32\regedit.exe
   • G:\WINDOWS\system32\regedit.exe

   • c:\windows\System\msconfig.exe
   • c:\windows\system32\msconfig.exe
   • c:\winnt\system32\msconfig.exe




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %SYSDIR%\Emma.exe
   • %SYSDIR%\Alisa.exe

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Renova = Nova.exe

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Shell = %PROGRAM FILES%\Common Files\Renova.exe



São adicionadas as seguintes chaves ao registo:

– [HKCU\Software\Policies\Microsoft\Windows\System]
   • DisableCMD = 0

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   • DisableConfig = 1
   • DisableSR = 1



Altera as seguintes chaves de registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
   Valor anterior:
   • ProductName = %definições do utilizador %
   • RegisteredOrganization = %definições do utilizador %
   • RegisteredOwner = %definições do utilizador %
   • ProductId = %definições do utilizador %
   Valor recente:
   • ProductName = RENOVA
   • RegisteredOrganization = XENOVA
   • RegisteredOwner = RENOVA
   • ProductId = RENOVA

– [HKCU\Software\Microsoft\Windows\CurrentVersion]
   Valor anterior:
   • RegisteredOrganization = %definições do utilizador %
   • RegisteredOwner = %definições do utilizador %
   • ProductId = %definições do utilizador %
   • ProductName = %definições do utilizador %
   Valor recente:
   • RegisteredOrganization = XENOVA
   • RegisteredOwner = RENOVA
   • ProductId = RENOVA
   • ProductName = RENOVA

– [HKCU\Control Panel\Desktop]
   Valor anterior:
   • AutoEndTasks = 0
   Valor recente:
   • AutoEndTasks = 1

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   Valor anterior:
   • AlternateShell = cmd.exe
   Valor recente:
   • AlternateShell = %PROGRAM FILES%\Common Files\Renova.exe

– [HKLM\SYSTEM\ControlSet%número% \Control\SafeBoot]
   Valor anterior:
   • AlternateShell = cmd.exe
   Valor recente:
   • AlternateShell = %PROGRAM FILES%\Common Files\Renova.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • Shell = explorer.exe
   • Userinit = explorer.exe
   Valor recente:
   • Shell = explorer.exe %PROGRAM FILES%\Common Files\Renova.exe
   • Userinit = explorer.exe %PROGRAM FILES%\Common Files\Renova.exe

Home page do Internet Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor recente:
   • DisableRegistryTools = 1
   • DisabletaskMgr = 1

– [HKCU\Software\Microsoft\Windows\CurrentVersion\
   Group Policy Objects\LocalUser\Software\Microsoft\Windows\
   CurrentVersion\Policies\System]
   Valor recente:
   • DisableRegistryTools = 1

Desactiva o Regedit e o Gestor de Tarefas:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   Valor anterior:
   • Type = checked
   Valor recente:
   • Type =

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\NOHIDDEN]
   Valor anterior:
   • CheckedValue = %definições do utilizador %
   • DefaultValue = %definições do utilizador %
   Valor recente:
   • CheckedValue = 2
   • DefaultValue = 2

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Valor anterior:
   • CheckedValue = %definições do utilizador %
   • DefaultValue = %definições do utilizador %
   Valor recente:
   • CheckedValue = 1
   • DefaultValue = 2

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   Valor anterior:
   • CheckedValue = %definições do utilizador %
   • DefaultValue = %definições do utilizador %
   Valor recente:
   • CheckedValue = 1
   • DefaultValue = 1

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • Hidden = %definições do utilizador %
   • HideFileExt = %definições do utilizador %
   Valor recente:
   • Hidden = 2
   • HideFileExt = 1

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor recente:
   • NoDriveTypeAutoRun = 91
   • NoSaveSettings = 0
   • NoFolderOptions = 0
   • NoFind = 1
   • NoRun = 0
   • NoControlPanel = 0

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
   Valor recente:
   • NoFolderOptions = 0
   • NoControlPanel = 0
   • NoFind = 1
   • NoRun = 0

 E-mail Utiliza o Messaging Application Programming Interface (MAPI) para responder a e-mails guardados na caixa de entrada. As características são as seguintes:


De:
O endereço do remetente é a conta do utilizador do Outlook.


Formato do email:



Para: %remetente original%
Assunto: Re: %assunto original%
Body:
   • Sorry, Saya lupa nih :)
Atalho:
   • Nova.scr

O ficheiro de atalho é uma cópia do malware.



O email pode ser parecido com o seguinte:


 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte acção:   Obtém a pasta partilhada examinando a chave de registo seguinte:
   • \Software\Kazaa\Transfer\DlDir0


 Terminar o processo A seguinte lista de processos são terminados:
   • GUNBLADE.EXE
   • CAV.EXE

São terminados os processos com um dos seguintes textos:
   • RABIAH; RABI'AH; MANTIK; PLATO; KINDI; IMAMAH; MATURID; HARUN NAS;
      IZUTSU; TEOLOGI; SUFI; PARTAI; HASAN ALBANA; IKHWANUL MUSLIMIN;
      TAHRIR; ARISTOTELES; GIBRAN; GHAZALI; IHYA; GENDER; PLURALISME; SYIAH;
      SYI'AH; DEMOCRA; DEMOKRA; LIBERAL; TASAWUF; SAMIR; YUNAN; QUTH;
      EMANSIP; PHILOSOP; MUTAZILAH; MU'TAZILAH; FILOSOF; FILSAFAT;
      REALPLAYER; CLEANER; MOVZX; REMOVER; ZANDA; MACHINE; CILLIN; CILIN;
      AVAST; GRISOFT; PROCEXP; NORTON; EARTHLINK PROTECTION; WASHER;
      ERTANTO; COMPACTBYTEAV; ADVANCED REGISTRY TRACER; KILL; CASTLECOPS;
      SOPHOS; F-SECURE; REGISTRYFIX; PANDA; SECUNIA; TREND; SYMANTEC;
      KASPERSKY; AVG; MCAFEE; NVC; NORMAN; VAKSIN; HACKER; COMMAND PROMPT;
      PROCESS EXPLORER - SYSINTERNALS; SYSTEM32; PCMAV; HIJACK; KILLBOX;
      FOLDER OPTION; CMD; WORM; TROJAN; VIRUS; ANTI; COMMAND BRO!!!; COMMAND
      BRO !!!; JOWOBOT; FAJAR; SATRIO; KANTUK; KANGEN; CUEX; EVANTA; BORAX;
      TITTA; CODE-X; MONTELLA; MONTELA; FERDINAND; CAMPBEL; CRUZ; ADRIANO;
      KAHN; RECOBA; FIGO; RAUL; GONZALES; CISSE; GERRAD; LAMPARD; TERRY;
      RIVALDO; GATUSO; GATTUSO; VAN DE; SHEARER; AIMAR; CLAUDIO; LOPEZ;
      TOLDO; CANNAVARO; NESTA; UMIT; HAKAN; LARSON; LARSSON; ETO O; ETO'O;
      MOVIC; MIDO; FABREGAS; HENRY; BARTHEZ; MANCINI; GILARD; BATIGOL;
      BATISTUA; TOTTI; COLE; OWEN; DIDA; RONALDINHO; TREZEG; ROBINHO;
      CARLOS; ROBERTO; RONALDO; MARADONA; PELE; VIDUKA; SALAS; KEWEL;
      PERUZZI; HOWARD; ZANETI; ZANETTI; GIGGS; ROONEY; BUFFON; VIERI; PIRLO;
      KAKA; ZLATAN; DECO; SHEVA; SHEVCHENKO; INZAGHI; PIERO; BECKHAM; BOCA
      J; BORDEUX; MONACO; MUNICH; MUNCHEN; DORTMUND; LEVERKUSEN; SEVILLA;
      VALENCIA; BARCA; BARCEL; MADRID; PARMA; LAZIO; ROMA; INTER; MILAN;
      JUVE; NEWCASTLE; LIVERPOOL; ARSENAL; CHELSEA; MANCHESTER; CUMBU; KISS;
      CIUM; RAYU; JULIET; ROMEO; VALENTINE; HENTAI; MANGA; ANIM; SUCK; FUCK;
      NAKE; NUDE; TEEN; GIRL; PORN; SEKS; SEX; THOMAS; JEREM; MAYANG S; NIA
      R; ZAYANT; DEWI; ANJASMARA; DIAN S; DIAN N; SOPIA; SOPHIA; MAYANG
      SARI; CUT KEKE; FEBIOLA; FEBY; JIHAN; CUT TARI; RIKE DIAH; WIBOWO;
      SARAH; AZAHRI; AZHARI; RIRIN; RATNASARI; TAMARA; ZUBIR; PRIMUS;
      REVALDO; ENNO LERIAN; ENO LERIAN; DIAH; KADIR; DOYOK; ULFA; KOMENG;
      JENIFER; JENNIFER; DICAPRIO; KRISTIN; ANGELLI; LEONARDO; KATE WIN;
      EMMA WATSON; HARY POTTER; HARRY POTTER; GOSSIP; GOSIP; SASTRA; SENI;
      ARTIS; BOLYWOOD; HOLYWOOD; SINETRON; VAGANZA; CELEBRI; SELEB; TSUBASA;
      SLAM DUNK; SAMURAI-X; SAMURAI X; HATTORI; HATORI; KABUTO; SHIZUKA;
      DORAEMON; NOBITA; INUYASHA; KENSHIN HIMURA; KOTARO MINAMI; KYOKO;
      EMIKO SHIRATORI; FAYE WONG; UEMATSU; NUOBUO; NOUBUO; NOBUO; NUBUO;
      MADONNA; MADONA; BENNINGTON; BENINGTON; GUN AND ROSE; GUN N ROSE;
      BLUR; SAMMY; PEARL; NAZARE; FRENTE; CRANBER; RADIOHEAD; RADIO HEAD;
      STING; SAYBIA; KEANE; GROBAN; ALTER; STEFAN; GWEN; MAROON; ANTHEM;
      GROOVE COVARAGE; PRODIGY; AGUILERA; BEDING; METALLICA; GUN N'ROSES;
      ALICIA KEYS; TATA YOUNG; BOY ZONE; MICHEL; MICHAEL; MICHEAL; MLTR;
      MARTYN; MARTIN; SCORPION; LINKIN PARK; LINKINPARK; GREEN DAY;
      GREENDAY; HOOBASTANK; PETER; WEST; SPICE; BRITNEY; DEDI DOR; NIA
      DANIAT; DAHLIA; NIKE ARD; BAGASKARA; KATON; NAFF; TITIK PUSPA; TITIEK
      PUSPA; DELON; SNADA; JOSHUA; SHERINA; SERIEUS; SERIUES; SEURIUS; 10 2
      5; TENTOFIVE; TEN2FIVE; 10 TO 5; TEN TO FIVE; TEN 2 FIVE; CHRISYE;
      SO7; SHEILA; GLENN; AURIL; AVRIL; OPICK; AGNES; ANANG; NUGIE; HADAD;
      HADDAD; AB THREE; REZA; CAFEIN; CAFFEIN; RATU; RADJA; LALUNA; THE
      RAIN; UTOPIA; SPARK; BASEJAM; ENDANK; JAVA JIVE; MARCEL; BUNGLON;
      ANDRE HEHANU; FLANELA; BAIM; CANDIL; KOES P; MINORU; NUNO; YOVI; AUDY;
      TERE; WAYANG; BASE JAM; JIKUSTIK; SAMSON; PAS BAND; BOOMERANG; NAIF;
      COKELAT; KAPTEN BAND; TIC BAND; JAMRUD; KOTAK BAND; AMERICAN IDOL;
      INDONESIAN IDOL; TEAM LO; BUNGA; TIPE-X; TIPE X; ELEMENT; EMINEM;
      RAIHAN; RAYHAN; MELY; MELLY; UNGU; STINGKY; SLANK; INUL; PADI; IWAN
      FAL; ADABAND; ADA BAND; ROSA; KRISDAYANTI; NURHALIZA; DEWA; ARY LASO;
      ARY LASSO; ARI LASO; ARI LASSO; GIGI; THE 0THERS; CHEER; DANCE; SING;
      SONG; MP 3; MP3; MARAWIS; NASYID; DANGDUT; MELODI; MELODY; SENANDUNG;
      IRAMA; GITAR; GUITAR; NYANYI; LAGU; WINAMP; MUSIK; MUSIC; DANIAT;
      PHILOSO; FUNNY; MALAS; SOUND; JPG; JPEG; RAGNAROK; FANTASY; IKHWANUL;
      ARISTO; PLURAL; GAME; DEMOC; DEMOK; FAKE; NORWE; REMOVE; PROTECT;
      COMPACT; REGISTRY; CASTLE; SOPH; SECUR; MCAFE; DEEP; HIJA; VIR; CRACK;
      HACK; ACT; BECK; GAMB; FOTO; PHOTO; KASIH; TUNANG; PACAR; CINTA; LOVE;
      JULIE; ROME; VALENT; LEONARD; KATE W; EMMA WAT; HARY; POTTER; HARRY;
      ART; BOLY; HOLY; SINE; EMIKO; WONG; FAYE; UEMA; NUO; NOB; NUB; MADO;
      BENING; BENNING; ROSE; GUN; ZONE; BOY; MICH; MART; SCORP; LINKIN;
      GREEN; HOOB; RIF; DEDI D; NIKE; PUSPA; JOSH; SHERIN; TEN TO; TEN 2;
      CHRIS; POTRET; NUGI; AUDI; AMERICA; ELEMEN; DANG

São pesquisados os seguintes textos nos processos activos. Se os encontrar os processos são terminados.:
   • XMPLAYER.EXE; REALPLAY.EXE; ACDSEE.EXE; ALOGSERV.EXE; CM GRDIAN.EXE;
      CMGRDIAN.EXE; RULAUNCH.EXE; VSMAIN.EXE; AVPCC.EXE; AVPM.EXE;
      AVP32.EXE; AVWUPSRV.EXE; AVGNT.EXE; AVWIN.EXE; AVGEMC.EXE; AVGWB.DAT;
      AVGCC.EXE; TROJAN GUARDER.EXE; ASHSIMPL.EXE; ASHQUICK.EXE; OPERA.EXE;
      FIREFOX.EXE; IEXPLORE.EXE; TASKMGR.EXE; EMUSICCLIENT.EXE; ART.EXE;
      NAVW32.EXE; CCLAW.EXE; NVCOD.EXE; WINAMP.EXE

São terminados os processos que contêm um dos titulos seguintes:
   • CompactbyteAV; Advanced Registry Tracer; Setup - iKnowPS; iKnowPS;
      RamCleaner; System Cleaner; TuneUp RegistryCleaner; Antivirus Scanner;
      Zanda's little helper; Norman Generic Fix; NVC v5.81 Setup; Norman
      Virus Control - InstallShield Wizard; Process Explorer - Sysinternals:
      www.sysinternals.com; Pocket Killbox; RegCleaner 4.1 by Jouni Vuorio;
      Security Task Manager Versi shareware tanpa registrasi; Security Task
      Manager; Installation; EULA; PowerDVD; Windows Media Player; Microsoft
      Configuration Utility; System Restore; System Configuration Utility;
      Restrictions; Registry Editor; Close Programs; Close Program; Task
      Manager; Windows Script Host; HijackThis; HijackThis - v1.99.1;
      Getting Started with Windows 2000; Folder Options


 Informações diversas Mutex:
Cria os seguintes Mutexes:
   • Renova Aliciana
   • Renova Emira

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Andrei Gherman em terça-feira, 18 de julho de 2006
Descrição atualizada por Andrei Gherman em quarta-feira, 19 de julho de 2006

Voltar . . . .