Precisa consertar seu PC?
Contrate um especialista
VírusWorm/VB.BY.3
Data em que surgiu:04/07/2006
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:De médio a elevado
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:35.176 Bytes
MD5 checksum:72ac420Cef8d898ab1a66c5d79ce7d6b
Versão VDF:6.35.00.115
Versão IVDF:6.35.00.141 - segunda-feira, 10 de julho de 2006

 Vulgarmente Meios de transmissão:
   • E-mail
   • Peer to Peer


Alias:
   •  Mcafee: W32/MoonLight.worm
   •  Kaspersky: Email-Worm.Win32.VB.by
   •  TrendMicro: WORM_BRONTOK.AH
   •  VirusBuster: I-Worm.VB.WEI
   •  Eset: Win32/NoonLight.F
   •  Bitdefender: Worm.Spawner.VB.BY


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro
   • Utiliza o seu próprio motor de E-mail
   • Baixa as definições de segurança
   • Guarda as teclas digitadas
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\%número% .exe
   • %SYSDIR%\X%número% go\Z%número% cie.cmd
   • %HOME%\Templates\%número% Z\TUX%número% .exe
   • %HOME%\Start Menu\Programs\startup\sql.cmd
   • %WINDIR%\M%número% \Ja%número% bLay.com
   • %WINDIR%\Ti%número% ta.exe
   • %WINDIR%\sa-%número% .exe
   • %WINDIR%\M%número% \smss.exe
   • %WINDIR%\M%número% \EmangEloh.exe
   • %HOME%\Templates\%número% Z\winlogon.exe
   • %HOME%\Templates\%número% Z\service.exe



É criado o seguinte ficheiro:

%SYSDIR%\msvbvm60.dll

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "T%número% "="%WINDIR%\sa-%número% .exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "T%número% "="%SYSDIR%\%número% .exe"



Os valores das seguintes chaves registo do windows são eliminados:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ADie suka kamu
   • Bron-Spizaetus-cfirltrx
   • Bron-Spizaetus
   • Bron-Spizaetus-cgglmmrv
   • dkernel
   • lexplorer
   • YourUnintendes
   • YourUnintended
   • TryingToSpeak

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • SaTRio ADie X
   • Tok-Cirrhatus-1101
   • MomentEverComes
   • AllMyBallance
   • Tok-Cirrhatus



São adicionadas as seguintes chaves ao registo:

– HKCU\Software\VB and VBA Program Settings\noGods

– HKCU\Software\VB and VBA Program Settings\noGods\appActive
   • "winlogon.exe"="£¸ð"
   • "EmangEloh.exe"="i~¶Q"
   • "smss.exe"="r"
   • "service.exe"="²ê"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe
   • debugger"="%WINDIR%\notepad.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe
   • "debugger"="%WINDIR%\notepad.exe"

– HKCU\Software\VB and VBA Program Settings\untukmu\version
   • "me"="4"

– HKCR\scrfile
   • "(Default)"="File Folder"



Altera as seguintes chaves de registo do Windows:

– HKLM\SYSTEM\ControlSet002\Control\SafeBoot
   Valor anterior:
   • "AlternateShell"="cmd.exe"
   Valor recente:
   • "AlternateShell"="%número% .exe"

– HKLM\SYSTEM\ControlSet001\Control\SafeBoot
   Valor anterior:
   • "AlternateShell"="cmd.exe"
   Valor recente:
   • "AlternateShell"="%número% .exe"

Desactiva a Firewall do Windows
– HKLM\SYSTEM\ControlSet001\Services\SharedAccess
   Valor anterior:
   • "Start"=%definições do utilizador %
   Valor recente:
   • "Start"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Valor anterior:
   • "ShowSuperHidden"=%definições do utilizador %
   • "Hidden"=%definições do utilizador %
   • "HideFileExt"=%definições do utilizador %
   Valor recente:
   • "ShowSuperHidden"=dword:00000000
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001

Home page do Internet Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Valor anterior:
   • "DisableRegistryTools"=dword:00000000
   Valor recente:
   • "DisableRegistryTools"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Valor anterior:
   • "Userinit"="%SYSDIR%\userinit.exe"
   • "Shell"="explorer.exe"
   Valor recente:
   • "Userinit"="%SYSDIR%\userinit.exe , "%WINDIR%\M%número% \Ja%numberbLay.com""
   • "Shell"="explorer.exe, "C:\Documents and Settings\cda101\Templates\O%número% Z\TuxO%número% Z.exe""

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
Um dos seguintes:
   • Tolong Aku..
   • Tolong
   • hi please see this file
   • hey Indonesian porn Tiara lestari pic's
   • Registration Confirmation
   • Cek This
   • hello
   • RE:bla bla bla
   • RE:HeLLO GuYs



Corpo:
O corpo do email tem uma das seguintes linhas:
   • please read again what i have written to you
   • thank's for you register your acount details are attached
   • Aku Mencari Wanita yang aku Cintai
   • dan cara menggunakan email mass
   • ini adalah cara terakhirku ,di lampiran ini terdapat
   • foto dan data Wanita tsb Thank's
   • NB:Mohon di teruskan kesahabat anda
   • aku mahasiswa Bsi Margonda smt 3
   • yah aku sedang membutuhkan pekerjaan
   • oh ya aku tahu anda dr milis ilmu komputer
   • di lampiran ini terdapat curriculum vittae dan foto saya
   • password lampiran 55132098
   • For security reasons attached file is password protected. The password is 55132098
O corpo do email é o seguinte:

   • free screen saver romance for you.
      Please Visit Our Web Site
     http://www.moonLight.com


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • curriculum vittae.zip
   • USE_RAR_To_Extract.ace
   • ZIPPED.zip
   • FILEATTACH.bz2
   • Doc.gz
   • file.bz2
   • thisfile.gz
   • TITTA'S Picture.jar

O ficheiro de atalho contém uma cópia do próprio malware.

 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • txt
   • tml
   • asp
   • wab
   • eml
   • doc
   • php
   • rtf


Endereços gerados para o campo DE:
Utiliza o seguinte texto para gerar endereços:
   • B4bb1cool; mansonisme; Yoseph2000; 12050075; CoolMan; BabbyBear;
      Jagung-Bakar; MooNLight; Rita; sasUK3; Davis; Titta; Anata; Emily;
      HellSpawn; Lia; Fria; admin; SaZZA; BInaSarana; JuwitaNingrum;
      HackersMinds



Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • bank; bront; dengines; Friendster; login; mcafee; MoonMail; norman;
      norton; novell; panda; sensasi; sophos; suport; Syman; Trend; vaksin;
      virus; xxx; yahoogroup; yourdomain; yoursite; yyyy


Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • smtp.
   • mail.
   • ns1.
   • mx1.
   • mail1.
   • mx.
   • mxs.
   • relay.
   • gate.

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte acção:


   Procura directórios com os seguintes textos:
   • upload
   • share
   • download

   Em caso de ser bem sucedido, são criados os seguintes ficheiros:
   • TutoriaL HAcking%espaços vazios%.exe
   • Lagu - Server%espaços vazios%.scr
   • Data DosenKu%espaços vazios%.exe
   • Titip Folder Jangan DiHapus%espaços vazios%.exe
   • Love Song%espaços vazios%.scr
   • New mp3 BaraT !!%espaços vazios%.exe
   • THe Best Ungu%espaços vazios%.scr
   • Blink 182%espaços vazios%.exe
   • Norman virus Control 5.18%espaços vazios%.exe
   • download%espaços vazios%.scr
   • Gallery%espaços vazios%.scr
   • RaHasIA%espaços vazios%.exe

   Os ficheiros são cópias do próprio malware.

 Backdoor Contacta o servidor:
Seguinte:
   • http://www.apasajalah.host.sk/**********

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP GET através de scripts PHP.


Envia informação sobre:
    • Informação recolhida na secção de roubos.

 Roubos de informação     • Teclar

 Informações diversas Texto:
Além disso contém os seguintes blocos de texto:
   • :: The NewMoonLight ::
   • Created by HeLLsPAwn A.K.A B4bb1cool
   • (c) 2006 Depok ~ Indonesia

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Irina Boldea em quinta-feira, 10 de agosto de 2006
Descrição atualizada por Irina Boldea em sexta-feira, 11 de agosto de 2006

Voltar . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Todos os direitos reservados.

Minha Conta

https:// Esta janela é criptografada para sua segurança.