Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/VB.EX
Data em que surgiu:08/01/2007
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De médio a elevado
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:133.632 Bytes
MD5 checksum:c140fa018a75e964c287f254a55fa5e6
Versão IVDF:6.37.00.117 - segunda-feira, 8 de janeiro de 2007

 Vulgarmente Meios de transmissão:
   • E-mail
   • Rede local


Alias:
   •  Mcafee: W32/MoonLight.worm
   •  Kaspersky: Email-Worm.Win32.VB.co
   •  Sophos: W32/Bobandy-F
   •  Eset: Win32/NoonLight.X
   •  Bitdefender: Worm.Moonlight.A


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Descarrega ficheiros
   • Descarrega ficheiros maliciosos
   • Utiliza o seu próprio motor de E-mail
   • Baixa as definições de segurança
   • Guarda as teclas digitadas
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\%uma série de caracteres aleatórios%\service.exe
   • %WINDIR%\%uma série de caracteres aleatórios%\winlogon.exe
   • %WINDIR%\%uma série de caracteres aleatórios%\system.exe
   • %WINDIR%\%uma série de caracteres aleatórios%\regedit.cmd
   • %WINDIR%\%uma série de caracteres aleatórios%\smss.exe
   • %WINDIR%\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.com
   • %WINDIR%\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.exe
   • %WINDIR%\lsass.exe
   • %SYSDIR%\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.cmd
   • %WINDIR%\%uma série de caracteres aleatórios%.exe
   • %SYSDIR%\%uma série de caracteres aleatórios%.exe
   • %HOME%\My Documents\%todas as subpastas% \%nome da pasta actual%.exe
   • C:\RealPlayer13-5GOLD.exe
   • C:\Icon Cool-Editor 3.4.30315.exe
   • C:\CheatEngine52.exe
   • C:\framework-4.4.exe
   • C:\Vista Transformation Pack 4.0.exe
   • C:\Pack_Vista_Inspirat_1.6.exe
   • C:\DeepUnfreezerU1.6.exe
   • C:\Len
   • C:\Pack_Longhorn_Inspirat_1.6_code32547.exe
   • C:\TeamViewer_Setup.exe
   • C:\Licence.exe
   • C:\Pictures.exe
   • C:\Secret.exe
   • C:\Documents.exe
   • C:\Vivid.exe
   • C:\update.exe
   • C:\XXX.exe
   • C:\cool.exe
   • C:\vitae.exe
   • C:\error.exe



Copia-se dentro de um ficheiro para a localização seguinte:
   • %WINDIR%\%uma série de caracteres aleatórios%\MYpIC.zip



Cria a seguinte pasta:
   • %WINDIR%\%uma série de caracteres aleatórios%



São criados os seguintes ficheiros:

– Ficheiro não malicioso:
   • %WINDIR%\onceinabluemoon.mid

%SYSDIR%\systear.dll
%WINDIR%\MooNlight.txt É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • [Lunalight]
     
     I-WorM.LunaLIGHT.b Aliase W32/MoonLight.P@mm
     Copyleft @ Devil.inc

%WINDIR%\moonlight.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Moonlight.DLL.Dam

%SYSDIR%\msvbvm60.dll
%WINDIR%\cypreg.dll

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%uma série de caracteres aleatórios%"="%SYSDIR%\%uma série de caracteres aleatórios%.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%uma série de caracteres aleatórios%"="%WINDIR%\%uma série de caracteres aleatórios%.exe"



Os valores das seguintes chaves registo do windows são eliminados:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "avgnt"
   • "drv_st_key"
   • "norman_zanda"
   • "MSMSG"
   • "Winamp"
   • "Word"
   • "Driver"
   • "WinUpdateSupervisor"
   • "Task"
   • "dago"
   • "SMA_nya_Artika"
   • "Putri_Indonesia"
   • "BabelPath"
   • "Alumni Smansa"
   • "ViriSetup"
   • "SMAN1_Pangkalpinang"
   • "Putri_Bangka"
   • "SysYuni"
   • "SysDiaz"
   • "SysRia"
   • "Pluto"
   • "DllHost"
   • "SaTRio ADie X"
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "Bron-Spizaetus"
   • "ADie suka kamu"
   • "winfix"
   • "templog"
   • "service"
   • "Grogotix"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "avgnt"
   • "drv_st_key"
   • "norman_zanda"
   • "MSMSG"
   • "Winamp"
   • "Word"
   • "Driver"
   • "WinUpdateSupervisor"
   • "Task"
   • "dago"
   • "SMA_nya_Artika"
   • "Putri_Indonesia"
   • "BabelPath"
   • "Alumni Smansa"
   • "ViriSetup"
   • "SMAN1_Pangkalpinang"
   • "Putri_Bangka"
   • "SysYuni"
   • "SysDiaz"
   • "SysRia"
   • "Pluto"
   • "DllHost"
   • "SaTRio ADie X"
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "Bron-Spizaetus"
   • "ADie suka kamu"
   • "winfix"
   • "templog"
   • "service"
   • "Grogotix"



Altera as seguintes chaves de registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   Valor recente:
   • "Shell"="explorer.exe, "%WINDIR%\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.exe""

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Valor anterior:
   • "load"=""
   Valor recente:
   • "load"=""%WINDIR%\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.com""

Desactiva o Regedit e o Gestor de Tarefas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "Hidden"=%definições do utilizador %
   • "HideFileExt"=%definições do utilizador %
   • "ShowSuperHidden"=%definições do utilizador %
   Valor recente:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

– [HKCR\scrfile]
   Valor anterior:
   • @="Screen Saver"
   Valor recente:
   • @="File Folder"

– [HKCR\exefile]
   Valor anterior:
   • @="Application"
   Valor recente:
   • @="File Folder"

– [HKLM\SOFTWARE\Classes\exefile]
   Valor anterior:
   • @="Application"
   Valor recente:
   • @="File Folder"

Desactiva a Firewall do Windows
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • "Start"=%definições do utilizador %
   Valor recente:
   • "Start"=dword:00000000

Desactiva o Regedit e o Gestor de Tarefas:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Valor anterior:
   • "UncheckedValue"=%definições do utilizador %
   Valor recente:
   • "UncheckedValue"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   Valor anterior:
   • "DisableConfig"=%definições do utilizador %
   • "DisableSR"=%definições do utilizador %
   Valor recente:
   • "DisableConfig"=dword:00000001
   • "DisableSR"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot]
   Valor anterior:
   • "AlternateShell"="cmd.exe"
   Valor recente:
   • "AlternateShell"="%uma série de caracteres aleatórios%.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe]
   Valor recente:
   • "debugger"="%WINDIR%\notepad.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   Valor recente:
   • "debugger"="%WINDIR%\%uma série de caracteres aleatórios%\regedit.cmd"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\rstrui.exe]
   Valor recente:
   • "debugger"="%WINDIR%\notepad.exe"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.


Assunto:
Um dos seguintes:
   • Tolong Aku..
   • Tolong
   • Aku Mencari Wanita yang aku Cintai
   • miss Indonesian
   • Cek This
   • hello
   • Japannes Porn



Corpo:
O corpo do email tem uma das seguintes linhas:
   • dan cara menggunakan email mass
   • ini adalah cara terakhirku ,di lampiran ini terdapat
   • foto dan data Wanita tsb Thank's
   • NB:Mohon di teruskan kesahabat anda
   • aku mahasiswa BSI Margonda smt 4
   • yah aku sedang membutuhkan pekerjaan
   • oh ya aku tahu anda dr milis ilmu komputer
   • di lampiran ini terdapat curriculum vittae dan foto saya
   • hi
   • hey Indonesian porn
   • Agnes Monica pic's
   • Fucking With Me :D
   • please read again what i have written to you
   • Hot ...


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • Doc %sete caracteres aleatórios%.zip
   • file %sete caracteres aleatórios%.zip
   • hell %sete caracteres aleatórios%.zip
   • Miyabi %sete caracteres aleatórios%.zip
   • nadine %sete caracteres aleatórios%.zip
   • need you %sete caracteres aleatórios%.zip
   • thisfile %sete caracteres aleatórios%.zip
   • video %sete caracteres aleatórios%.zip

O ficheiro de atalho contém uma cópia do próprio malware.



O email pode ser parecido com um dos seguintes:



 Mailing  Endereços gerados para o campo DE:
Utiliza o seguinte texto para gerar endereços:
   • Anton; Firmansyah; Joko; Titta; Lanelitta; Ami; Riri; Fransisca;
      Claudia; Fransiska; Cicilia; sisilia; Hilda; Nadine; Ida; Julia; Nana;
      Joe; CoolMan; Vivi; Valentina; Linda; Rita; sasuke; Davis; Anata;
      Emily; HellSpawn; Lia; Fria; admin; SaZZA; Susi; Agnes; JuwitaNingrum;
      Natalia


Tem um dos seguintes domínios:
   • Lovemail.com
   • hackersmail.com
   • hotmail.com
   • gmail.com
   • msn.com
   • yahoo.com.sg
Não envia emails para endereços com os seguintes blocos de texto:
   • security; avira; norman; norton; panda; mcafee; Syman; sophos; Trend;
      vaksin; novell; virus
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • smtp.
   • mail.
   • ns1.
   • mx1.
   • mail1.
   • mx.
   • mxs.
   • relay.
   • gate.

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
   • \IPC$
   • \ADMIN$

 Roubos de informação Tenta roubar a seguinte informação:

– É iniciada uma rotina de logging depois de digitadar um dos seguintes textos:
   • Friendster
   • yahoo
   • gmail
   • login
   • bank
   • hotmail

– Captura:
    • Teclar

 Informações diversas  Procura uma ligação de internet contactando o seguinte web site:
   • www.google.com

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Visual Basic.

Descrição enviada por Adriana Popa em sexta-feira, 9 de novembro de 2007
Descrição atualizada por Monica Ghitun em sexta-feira, 9 de novembro de 2007

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.