Full description

Vírus	Worm/VB.EX
Data em que surgiu:	08/01/2007
Tipo:	Worm
Incluído na lista "In The Wild"	Sim
Nível de danos:	Baixo
Nível de distribuição:	De médio a elevado
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	133.632 Bytes
MD5 checksum:	c140fa018a75e964c287f254a55fa5e6
Versão IVDF:	6.37.00.117 - segunda-feira, 8 de janeiro de 2007

Vulgarmente Meios de transmissão:
   • E-mail
   • Rede local

Alias:
   • Mcafee: W32/MoonLight.worm
   • Kaspersky: Email-Worm.Win32.VB.co
   • Sophos: W32/Bobandy-F
   • Eset: Win32/NoonLight.X
   • Bitdefender: Worm.Moonlight.A

Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Desactiva aplicações de segurança
   • Descarrega ficheiros
   • Descarrega ficheiros maliciosos
   • Utiliza o seu próprio motor de E-mail
   • Baixa as definições de segurança
   • Guarda as teclas digitadas
   • Altera o registo do Windows

Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\%uma série de caracteres aleatórios%\service.exe
   • %WINDIR%\%uma série de caracteres aleatórios%\winlogon.exe
   • %WINDIR%\%uma série de caracteres aleatórios%\system.exe
   • %WINDIR%\%uma série de caracteres aleatórios%\regedit.cmd
   • %WINDIR%\%uma série de caracteres aleatórios%\smss.exe
   • %WINDIR%\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.com
   • %WINDIR%\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.exe
   • %WINDIR%\lsass.exe
   • %SYSDIR%\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.cmd
   • %WINDIR%\%uma série de caracteres aleatórios%.exe
   • %SYSDIR%\%uma série de caracteres aleatórios%.exe
   • %HOME%\My Documents\%todas as subpastas% \%nome da pasta actual%.exe
   • C:\RealPlayer13-5GOLD.exe
   • C:\Icon Cool-Editor 3.4.30315.exe
   • C:\CheatEngine52.exe
   • C:\framework-4.4.exe
   • C:\Vista Transformation Pack 4.0.exe
   • C:\Pack_Vista_Inspirat_1.6.exe
   • C:\DeepUnfreezerU1.6.exe
   • C:\Len
   • C:\Pack_Longhorn_Inspirat_1.6_code32547.exe
   • C:\TeamViewer_Setup.exe
   • C:\Licence.exe
   • C:\Pictures.exe
   • C:\Secret.exe
   • C:\Documents.exe
   • C:\Vivid.exe
   • C:\update.exe
   • C:\XXX.exe
   • C:\cool.exe
   • C:\vitae.exe
   • C:\error.exe

Copia-se dentro de um ficheiro para a localização seguinte:
   • %WINDIR%\%uma série de caracteres aleatórios%\MYpIC.zip

Cria a seguinte pasta:
   • %WINDIR%\%uma série de caracteres aleatórios%

São criados os seguintes ficheiros:

– Ficheiro não malicioso:
   • %WINDIR%\onceinabluemoon.mid

– %SYSDIR%\systear.dll
– %WINDIR%\MooNlight.txt É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • [Lunalight]

     I-WorM.LunaLIGHT.b Aliase W32/MoonLight.P@mm
     Copyleft @ Devil.inc

– %WINDIR%\moonlight.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Moonlight.DLL.Dam

– %SYSDIR%\msvbvm60.dll
– %WINDIR%\cypreg.dll

Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%uma série de caracteres aleatórios%"="%SYSDIR%\%uma série de caracteres aleatórios%.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%uma série de caracteres aleatórios%"="%WINDIR%\%uma série de caracteres aleatórios%.exe"

Os valores das seguintes chaves registo do windows são eliminados:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "avgnt"
   • "drv_st_key"
   • "norman_zanda"
   • "MSMSG"
   • "Winamp"
   • "Word"
   • "Driver"
   • "WinUpdateSupervisor"
   • "Task"
   • "dago"
   • "SMA_nya_Artika"
   • "Putri_Indonesia"
   • "BabelPath"
   • "Alumni Smansa"
   • "ViriSetup"
   • "SMAN1_Pangkalpinang"
   • "Putri_Bangka"
   • "SysYuni"
   • "SysDiaz"
   • "SysRia"
   • "Pluto"
   • "DllHost"
   • "SaTRio ADie X"
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "Bron-Spizaetus"
   • "ADie suka kamu"
   • "winfix"
   • "templog"
   • "service"
   • "Grogotix"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "avgnt"
   • "drv_st_key"
   • "norman_zanda"
   • "MSMSG"
   • "Winamp"
   • "Word"
   • "Driver"
   • "WinUpdateSupervisor"
   • "Task"
   • "dago"
   • "SMA_nya_Artika"
   • "Putri_Indonesia"
   • "BabelPath"
   • "Alumni Smansa"
   • "ViriSetup"
   • "SMAN1_Pangkalpinang"
   • "Putri_Bangka"
   • "SysYuni"
   • "SysDiaz"
   • "SysRia"
   • "Pluto"
   • "DllHost"
   • "SaTRio ADie X"
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "Bron-Spizaetus"
   • "ADie suka kamu"
   • "winfix"
   • "templog"
   • "service"
   • "Grogotix"

Altera as seguintes chaves de registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   Valor recente:
   • "Shell"="explorer.exe, "%WINDIR%\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.exe""

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Valor anterior:
   • "load"=""
   Valor recente:
   • "load"=""%WINDIR%\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.com""

Desactiva o Regedit e o Gestor de Tarefas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "Hidden"=%definições do utilizador %
   • "HideFileExt"=%definições do utilizador %
   • "ShowSuperHidden"=%definições do utilizador %
   Valor recente:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

– [HKCR\scrfile]
   Valor anterior:
   • @="Screen Saver"
   Valor recente:
   • @="File Folder"

– [HKCR\exefile]
   Valor anterior:
   • @="Application"
   Valor recente:
   • @="File Folder"

– [HKLM\SOFTWARE\Classes\exefile]
   Valor anterior:
   • @="Application"
   Valor recente:
   • @="File Folder"

Desactiva a Firewall do Windows
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • "Start"=%definições do utilizador %
   Valor recente:
   • "Start"=dword:00000000

Desactiva o Regedit e o Gestor de Tarefas:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Valor anterior:
   • "UncheckedValue"=%definições do utilizador %
   Valor recente:
   • "UncheckedValue"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   Valor anterior:
   • "DisableConfig"=%definições do utilizador %
   • "DisableSR"=%definições do utilizador %
   Valor recente:
   • "DisableConfig"=dword:00000001
   • "DisableSR"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot]
   Valor anterior:
   • "AlternateShell"="cmd.exe"
   Valor recente:
   • "AlternateShell"="%uma série de caracteres aleatórios%.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe]
   Valor recente:
   • "debugger"="%WINDIR%\notepad.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   Valor recente:
   • "debugger"="%WINDIR%\%uma série de caracteres aleatórios%\regedit.cmd"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\rstrui.exe]
   Valor recente:
   • "debugger"="%WINDIR%\notepad.exe"

E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:

De:
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.

Para:
– Endereços de email encontrados em determinados ficheiros no sistema.

Assunto:
Um dos seguintes:
   • Tolong Aku..
   • Tolong
   • Aku Mencari Wanita yang aku Cintai
   • miss Indonesian
   • Cek This
   • hello
   • Japannes Porn

Corpo:
O corpo do email tem uma das seguintes linhas:
   • dan cara menggunakan email mass
   • ini adalah cara terakhirku ,di lampiran ini terdapat
   • foto dan data Wanita tsb Thank's
   • NB:Mohon di teruskan kesahabat anda
   • aku mahasiswa BSI Margonda smt 4
   • yah aku sedang membutuhkan pekerjaan
   • oh ya aku tahu anda dr milis ilmu komputer
   • di lampiran ini terdapat curriculum vittae dan foto saya
   • hi
   • hey Indonesian porn
   • Agnes Monica pic's
   • Fucking With Me :D
   • please read again what i have written to you
   • Hot ...

Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • Doc %sete caracteres aleatórios%.zip
   • file %sete caracteres aleatórios%.zip
   • hell %sete caracteres aleatórios%.zip
   • Miyabi %sete caracteres aleatórios%.zip
   • nadine %sete caracteres aleatórios%.zip
   • need you %sete caracteres aleatórios%.zip
   • thisfile %sete caracteres aleatórios%.zip
   • video %sete caracteres aleatórios%.zip

O ficheiro de atalho contém uma cópia do próprio malware.

O email pode ser parecido com um dos seguintes:

Mailing Endereços gerados para o campo DE:
Utiliza o seguinte texto para gerar endereços:
   • Anton; Firmansyah; Joko; Titta; Lanelitta; Ami; Riri; Fransisca;
      Claudia; Fransiska; Cicilia; sisilia; Hilda; Nadine; Ida; Julia; Nana;
      Joe; CoolMan; Vivi; Valentina; Linda; Rita; sasuke; Davis; Anata;
      Emily; HellSpawn; Lia; Fria; admin; SaZZA; Susi; Agnes; JuwitaNingrum;
      Natalia

Tem um dos seguintes domínios:
   • Lovemail.com
   • hackersmail.com
   • hotmail.com
   • gmail.com
   • msn.com
   • yahoo.com.sg
Não envia emails para endereços com os seguintes blocos de texto:
   • security; avira; norman; norton; panda; mcafee; Syman; sophos; Trend;
      vaksin; novell; virus
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • smtp.
   • mail.
   • ns1.
   • mx1.
   • mail1.
   • mx.
   • mxs.
   • relay.
   • gate.

Infecção da rede Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
• \IPC$
• \ADMIN$

Roubos de informação Tenta roubar a seguinte informação:

– É iniciada uma rotina de logging depois de digitadar um dos seguintes textos:
   • Friendster
   • yahoo
   • gmail
   • login
   • bank
   • hotmail

– Captura:
    • Teclar

Informações diversas Procura uma ligação de internet contactando o seguinte web site:
• www.google.com

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Visual Basic.

Descrição enviada por Adriana Popa em sexta-feira, 9 de novembro de 2007
Descrição atualizada por Monica Ghitun em sexta-feira, 9 de novembro de 2007

Voltar . . . .

Produtos em destaque

Mais produtos

Produtos mais populares

Todos os produtos

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas

Produtos em destaque

Mais produtos

Produtos mais populares

Todos os produtos

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas