VírusWorm/VB.BS.2
Data em que surgiu:27/04/2006
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:De médio a elevado
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:43.520 Bytes
MD5 checksum:818de564a30f64e39c7f6142605ebcfb
Versão VDF:6.34.01.16 - quinta-feira, 27 de abril de 2006
Versão IVDF:6.34.01.16 - quinta-feira, 27 de abril de 2006

 Vulgarmente Meio de transmissão:
   • E-mail
   • Peer to Peer


Alias:
   •  Kaspersky: Email-Worm.Win32.VB.bs
   •  F-Secure: Email-Worm.Win32.VB.bs
   •  Sophos: W32/Bobandy-G
   •  Grisoft: I-Worm/VB.LG
   •  Eset: Win32/NoonLight.A
   •  Bitdefender: Win32.Moonlight.C@mm


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Descarrega ficheiros
   • Utiliza o seu próprio motor de E-mail
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\JAVA\CLASES\BIN\service.exe
   • %SYSDIR%\APPLOG\Sys\smss.exe
   • %SYSDIR%\run32dll.exe
   • %WINDIR%\Systask.exe
   • %SYSDIR%\dllcache\S-1-5-21-3407528163-1890605801-2494157004-500_Classes\MSOWCF.cmd
   • %WINDIR%\Brico.cmd
   • %WINDIR%\command.com
   • %SYSDIR%\remotesp.cmd
   • %SYSDIR%\MySqld-nt.cmd
   • %HOME%\Start Menu\Programs\startup\MySqld-nt Start.cmd
   • %WINDIR%\COMMAND\SETRAMD.cmd



Cria as seguintes pastas:
   • %WINDIR%\JAVA\CLASES\BIN
   • %WINDIR%\COMMAND



São criados os seguintes ficheiros:

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %TEMPDIR%\~%valores hex%.tmp

– C:\D4nc1ng_in_the_M0oNLighT.txt É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • |------------------------------|
     | Im Alone, Where Is God ?? |
     | i'm Trapped This World |
     | No one's there |
     | YOu StiLL Hurt Me , Why |
     | in The Moon Light ... |
     | i'll ... die .... |
     | I can'T WaiT Tomorrow |
     | is so much to Long |
     | GoodBye Sickness |
     |------------------------------|

– %HOME%\My Documents\M_o_0_n_L_i_g_h_T.txt É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • ----------------+-[W32/Moonlight]-+----------
     Created 3-2006 ,Depok City Indonesia,
     Greet's to MyMom,DeathKnight,PsHmV,Retro,
     Alco,LanElitta,An4k2MI***mrg
     
     
     |by HellSpawn|
     ---------------------------------------------

– %HOME%\My Documents\iLOVEHErLAN_ELLITTA.txt É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • --------------------------------------------
     |Ta GW Masih Di DEpok, GW jg Blom nikah ko |
     |itu semua cm Gosip ko, gw kuliah di *** |
     |MarGonda.. |
     |By KK Loe |
     --------------------------------------------

%SYSDIR%\winup\msvbvm60.dll
%SYSDIR%\msvbvm60.dll
– C:\cmd.bat

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ObjectDockZX"="%WINDIR%\Brico.cmd"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "MooNlightNeverDie"="%SYSDIR%\MySqld-nt.cmd"



Os valores das seguintes chaves registo do windows são eliminados:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "Tok-Cirrhatus-1101"
   • "SaTRio ADie X"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "chaaya bulan"
   • "Bron-Spizaetus-cgglmmrv"
   • "Bron-Spizaetus"
   • "Bron-Spizaetus-cfirltrx"
   • "ADie suka kamu"



São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe]
   • "debugger"="%SYSDIR%\remotesp.cmd"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   • "debugger"="%WINDIR%\command.com"

– [HKCU\Software\VB and VBA Program Settings]
– [HKCU\Software\VB and VBA Program Settings\noGods]
– [HKCU\Software\VB and VBA Program Settings\noGods\appActive]
   • "service.exe"="7LN{8Y"
   • "smss.exe"="xÅa½yG:"

– [HKCU\Software\VB and VBA Program Settings\untukmu\version]
   • "me"="2"



Altera as seguintes chaves de registo do Windows:

Desactiva o Regedit e o Gestor de Tarefas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "Hidden"=%user defined values%
   • "HideFileExt"=%user defined values%
   • "ShowSuperHidden"=%user defined values%
   Valor recente:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor anterior:
   • "NoFolderOptions"=%definições do utilizador %
   Valor recente:
   • "NoFolderOptions"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Valor anterior:
   • "UncheckedValue"=dword:00000001
   Valor recente:
   • "UncheckedValue"=dword:00000000

Home page do Internet Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor anterior:
   • "DisableRegistryTools"=%definições do utilizador %
   Valor recente:
   • "DisableRegistryTools"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   Valor recente:
   • "Shell"="explorer.exe, "%WINDIR%\COMMAND\SETRAMD.cmd""

Desactiva a Firewall do Windows
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • "Start"=%definições do utilizador %
   Valor recente:
   • "Start"=dword:00000000

– [HKLM\SYSTEM\ControlSet%número% \Control\SafeBoot]
   Valor recente:
   • "AlternateShell"="cmd.exe"

– [HKCR\scrfile]
   Valor anterior:
   • @="Screen Saver"
   Valor recente:
   • @="File Folder"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   User Shell Folders]
   Valor recente:
   • "Common Startup"="%SYSDIR%\dllcache\S-1-5-21-3407528163-1890605801-2494157004-500_Classes"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
Um dos seguintes:
   • Tolong Aku..
   • Tolong
   • Registration Confirmation
   • Cek This
   • hello
   • RE:bla bla bla
   • RE:HeLLO GuYs



Corpo:
O corpo do email é um dos seguintes:

   • hi please see this file

   • hot babe high quality porn

   • free screen saver romance for you

   • Please Visit Our Web Site:http://www.moonLight.com

   • hey free brontok, small_kl & more removal

   • thank's for you register
     your acount details are attached

   • Aku Mencari Wanita yang aku Cintai
     dan cara menggunakan email mass
     Rita

   • ini adalah cara terakhirku ,di lampiran ini terdapat
     foto dan data Wanita tsb Thank's

   • NB:Mohon di teruskan kesahabat anda
     password lampiran 55132098

   • aku mahasiswa Bsi Margonda smt 3

   • yah aku sedang membutuhkan pekerjaan

   • oh ya aku tahu anda dr milis ilmu komputer

   • di lampiran ini terdapat curriculum vittae dan foto saya


Às vezes continua com um dos seguintes:

   • For security reasons attached file is password protected.
     The password is 55132098


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • mypic.zip
   • dataKU.ace
   • attach.zip
   • Update.bz2
   • Doc.gz
   • file.bz2
   • thisfile.gz
   • pic.jar

O ficheiro de atalho contém uma cópia do próprio malware.

 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • html; xls; mdb; doc; rtf; php"; pps; ppt; txt; tml; asp; wab; eml


Endereços gerados para o campo DE:
Utiliza o seguinte texto para gerar endereços:
   • B4bb1cool; SpawN; jojo; mansonisme; Yoseph2000; 12050075; CoolMan;
      BabbyBear; Jagung-Bakar; MooNLight; Juwita; Davis; Titta; Anata;
      Emily; HellSpawn; Lia; Fria; admin; SaZZA; BInaSarana; Shit;
      JuwitaNingrum; HackersMinds; telkom; astaga; boleh; PLASA; indo;
      warung; gaul; id



Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • microsoft; .l; htm; rar; zip; www.; ..; virus; suport; MoonMail;
      yoursite; yourdomain; norton; panda; mcafee; Syman; sophos; Trend;
      vaksin; novell


Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • ns1.
   • mx1.
   • mail1.
   • mail.
   • mx.
   • ns.
   • smtp.
   • relay.
   • gate.

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte acção:   Procura directórios com os seguintes textos:
   • documen
   • oad
   • shar
   • upload
   • Pictu
   • ambar
   • dokumen

   Em caso de ser bem sucedido, são criados os seguintes ficheiros:
   • Gallery%espaços vazios%.scr
   • Blink 182%espaços vazios%.scr
   • Windows Vista setup%espaços vazios%.scr
   • Data DosenKu%espaços vazios%.scr
   • Titip Folder Jangan DiHapus%espaços vazios%.scr
   • Love Song%espaços vazios%.scr
   • New mp3 BaraT !!%espaços vazios%.scr
   • THe Best Ungu%espaços vazios%.scr
   • Norman virus Control 5.18%espaços vazios%.scr
   • TutoriaL HAcking%espaços vazios%.scr
   • Lagu - Server%espaços vazios%.scr
   • RaHasIA%espaços vazios%.scr

   Os ficheiros são cópias do próprio malware.

 Terminar o processo São terminados os processos com um dos seguintes textos:
   • dengines
   • command
   • cleaner
   • access
   • kill box
   • regis
   • config
   • sensasi
   • cmd
   • hijack

São terminados os processos que contêm um dos titulos seguintes:
   • zonEALARM
   • Startup control
   • filewalker
   • ProceXP
   • system Mechanic
   • OfficeSystem
   • Freeze


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • PECompact

Descrição enviada por Adriana Popa em terça-feira, 9 de janeiro de 2007
Descrição atualizada por Adriana Popa em terça-feira, 9 de janeiro de 2007

Voltar . . . .