Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/VB.EX
Data em que surgiu:08/01/2007
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:De mdio a elevado
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:133.632 Bytes
MD5 checksum:c140fa018a75e964c287f254a55fa5e6
Verso IVDF:6.37.00.117 - segunda-feira, 8 de janeiro de 2007

 Vulgarmente Meios de transmisso:
   • E-mail
   • Rede local


Alias:
   •  Mcafee: W32/MoonLight.worm
   •  Kaspersky: Email-Worm.Win32.VB.co
   •  Sophos: W32/Bobandy-F
   •  Eset: Win32/NoonLight.X
   •  Bitdefender: Worm.Moonlight.A


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Desactiva aplicaes de segurana
   • Descarrega ficheiros
   • Descarrega ficheiros maliciosos
   • Utiliza o seu prprio motor de E-mail
   • Baixa as definies de segurana
   • Guarda as teclas digitadas
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizaes
   • %WINDIR%\%uma srie de caracteres aleatrios%\service.exe
   • %WINDIR%\%uma srie de caracteres aleatrios%\winlogon.exe
   • %WINDIR%\%uma srie de caracteres aleatrios%\system.exe
   • %WINDIR%\%uma srie de caracteres aleatrios%\regedit.cmd
   • %WINDIR%\%uma srie de caracteres aleatrios%\smss.exe
   • %WINDIR%\%uma srie de caracteres aleatrios%\%uma srie de caracteres aleatrios%.com
   • %WINDIR%\%uma srie de caracteres aleatrios%\%uma srie de caracteres aleatrios%.exe
   • %WINDIR%\lsass.exe
   • %SYSDIR%\%uma srie de caracteres aleatrios%\%uma srie de caracteres aleatrios%.cmd
   • %WINDIR%\%uma srie de caracteres aleatrios%.exe
   • %SYSDIR%\%uma srie de caracteres aleatrios%.exe
   • %HOME%\My Documents\%todas as subpastas% \%nome da pasta actual%.exe
   • C:\RealPlayer13-5GOLD.exe
   • C:\Icon Cool-Editor 3.4.30315.exe
   • C:\CheatEngine52.exe
   • C:\framework-4.4.exe
   • C:\Vista Transformation Pack 4.0.exe
   • C:\Pack_Vista_Inspirat_1.6.exe
   • C:\DeepUnfreezerU1.6.exe
   • C:\Len
   • C:\Pack_Longhorn_Inspirat_1.6_code32547.exe
   • C:\TeamViewer_Setup.exe
   • C:\Licence.exe
   • C:\Pictures.exe
   • C:\Secret.exe
   • C:\Documents.exe
   • C:\Vivid.exe
   • C:\update.exe
   • C:\XXX.exe
   • C:\cool.exe
   • C:\vitae.exe
   • C:\error.exe



Copia-se dentro de um ficheiro para a localizao seguinte:
   • %WINDIR%\%uma srie de caracteres aleatrios%\MYpIC.zip



Cria a seguinte pasta:
   • %WINDIR%\%uma srie de caracteres aleatrios%



So criados os seguintes ficheiros:

Ficheiro no malicioso:
   • %WINDIR%\onceinabluemoon.mid

%SYSDIR%\systear.dll
%WINDIR%\MooNlight.txt um ficheiro de texto no malicioso com o seguinte contedo:
   • [Lunalight]
     
     I-WorM.LunaLIGHT.b Aliase W32/MoonLight.P@mm
     Copyleft @ Devil.inc

%WINDIR%\moonlight.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: TR/Moonlight.DLL.Dam

%SYSDIR%\msvbvm60.dll
%WINDIR%\cypreg.dll

 Registry (Registo do Windows) So adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%uma srie de caracteres aleatrios%"="%SYSDIR%\%uma srie de caracteres aleatrios%.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%uma srie de caracteres aleatrios%"="%WINDIR%\%uma srie de caracteres aleatrios%.exe"



Os valores das seguintes chaves registo do windows so eliminados:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "avgnt"
   • "drv_st_key"
   • "norman_zanda"
   • "MSMSG"
   • "Winamp"
   • "Word"
   • "Driver"
   • "WinUpdateSupervisor"
   • "Task"
   • "dago"
   • "SMA_nya_Artika"
   • "Putri_Indonesia"
   • "BabelPath"
   • "Alumni Smansa"
   • "ViriSetup"
   • "SMAN1_Pangkalpinang"
   • "Putri_Bangka"
   • "SysYuni"
   • "SysDiaz"
   • "SysRia"
   • "Pluto"
   • "DllHost"
   • "SaTRio ADie X"
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "Bron-Spizaetus"
   • "ADie suka kamu"
   • "winfix"
   • "templog"
   • "service"
   • "Grogotix"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "avgnt"
   • "drv_st_key"
   • "norman_zanda"
   • "MSMSG"
   • "Winamp"
   • "Word"
   • "Driver"
   • "WinUpdateSupervisor"
   • "Task"
   • "dago"
   • "SMA_nya_Artika"
   • "Putri_Indonesia"
   • "BabelPath"
   • "Alumni Smansa"
   • "ViriSetup"
   • "SMAN1_Pangkalpinang"
   • "Putri_Bangka"
   • "SysYuni"
   • "SysDiaz"
   • "SysRia"
   • "Pluto"
   • "DllHost"
   • "SaTRio ADie X"
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "Bron-Spizaetus"
   • "ADie suka kamu"
   • "winfix"
   • "templog"
   • "service"
   • "Grogotix"



Altera as seguintes chaves de registo do Windows:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   Valor recente:
   • "Shell"="explorer.exe, "%WINDIR%\%uma srie de caracteres aleatrios%\%uma srie de caracteres aleatrios%.exe""

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Valor anterior:
   • "load"=""
   Valor recente:
   • "load"=""%WINDIR%\%uma srie de caracteres aleatrios%\%uma srie de caracteres aleatrios%.com""

Desactiva o Regedit e o Gestor de Tarefas:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "Hidden"=%definies do utilizador %
   • "HideFileExt"=%definies do utilizador %
   • "ShowSuperHidden"=%definies do utilizador %
   Valor recente:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

[HKCR\scrfile]
   Valor anterior:
   • @="Screen Saver"
   Valor recente:
   • @="File Folder"

[HKCR\exefile]
   Valor anterior:
   • @="Application"
   Valor recente:
   • @="File Folder"

[HKLM\SOFTWARE\Classes\exefile]
   Valor anterior:
   • @="Application"
   Valor recente:
   • @="File Folder"

Desactiva a Firewall do Windows
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • "Start"=%definies do utilizador %
   Valor recente:
   • "Start"=dword:00000000

Desactiva o Regedit e o Gestor de Tarefas:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Valor anterior:
   • "UncheckedValue"=%definies do utilizador %
   Valor recente:
   • "UncheckedValue"=dword:00000000

[HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   Valor anterior:
   • "DisableConfig"=%definies do utilizador %
   • "DisableSR"=%definies do utilizador %
   Valor recente:
   • "DisableConfig"=dword:00000001
   • "DisableSR"=dword:00000001

[HKLM\SYSTEM\ControlSet001\Control\SafeBoot]
   Valor anterior:
   • "AlternateShell"="cmd.exe"
   Valor recente:
   • "AlternateShell"="%uma srie de caracteres aleatrios%.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe]
   Valor recente:
   • "debugger"="%WINDIR%\notepad.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   Valor recente:
   • "debugger"="%WINDIR%\%uma srie de caracteres aleatrios%\regedit.cmd"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\rstrui.exe]
   Valor recente:
   • "debugger"="%WINDIR%\notepad.exe"

 E-mail Tem um motor SMTP integrado para enviar emails. criada uma ligao directa com o servidor de destino. Tem as seguintes caractersticas:


De:
Endereos gerados. No assuma que inteno do remetente enviar este email para si. Ele pode no saber que tem o sistema infectado, pode mesmo no estar infectado. Alm disso provvel que receba emails que digam que est infectado. Pode no ser o caso.


Para:
– Endereos de email encontrados em determinados ficheiros no sistema.


Assunto:
Um dos seguintes:
   • Tolong Aku..
   • Tolong
   • Aku Mencari Wanita yang aku Cintai
   • miss Indonesian
   • Cek This
   • hello
   • Japannes Porn



Corpo:
O corpo do email tem uma das seguintes linhas:
   • dan cara menggunakan email mass
   • ini adalah cara terakhirku ,di lampiran ini terdapat
   • foto dan data Wanita tsb Thank's
   • NB:Mohon di teruskan kesahabat anda
   • aku mahasiswa BSI Margonda smt 4
   • yah aku sedang membutuhkan pekerjaan
   • oh ya aku tahu anda dr milis ilmu komputer
   • di lampiran ini terdapat curriculum vittae dan foto saya
   • hi
   • hey Indonesian porn
   • Agnes Monica pic's
   • Fucking With Me :D
   • please read again what i have written to you
   • Hot ...


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • Doc %sete caracteres aleatrios%.zip
   • file %sete caracteres aleatrios%.zip
   • hell %sete caracteres aleatrios%.zip
   • Miyabi %sete caracteres aleatrios%.zip
   • nadine %sete caracteres aleatrios%.zip
   • need you %sete caracteres aleatrios%.zip
   • thisfile %sete caracteres aleatrios%.zip
   • video %sete caracteres aleatrios%.zip

O ficheiro de atalho contm uma cpia do prprio malware.



O email pode ser parecido com um dos seguintes:



 Mailing  Endereos gerados para o campo DE:
Utiliza o seguinte texto para gerar endereos:
   • Anton; Firmansyah; Joko; Titta; Lanelitta; Ami; Riri; Fransisca;
      Claudia; Fransiska; Cicilia; sisilia; Hilda; Nadine; Ida; Julia; Nana;
      Joe; CoolMan; Vivi; Valentina; Linda; Rita; sasuke; Davis; Anata;
      Emily; HellSpawn; Lia; Fria; admin; SaZZA; Susi; Agnes; JuwitaNingrum;
      Natalia


Tem um dos seguintes domnios:
   • Lovemail.com
   • hackersmail.com
   • hotmail.com
   • gmail.com
   • msn.com
   • yahoo.com.sg
No envia emails para endereos com os seguintes blocos de texto:
   • security; avira; norman; norton; panda; mcafee; Syman; sophos; Trend;
      vaksin; novell; virus
De forma a obter o endereo IP do servidor de email tem capacidade de adicionar (ao incio) do nome de domnio os seguintes textos:
   • smtp.
   • mail.
   • ns1.
   • mx1.
   • mail1.
   • mx.
   • mxs.
   • relay.
   • gate.

 Infeco da rede  Para assegurar a sua propagao o malware tenta ligar-se a outras mquinas como descrito abaixo.

Envia cpias de si prprio s seguintes partilhas de rede:
   • \IPC$
   • \ADMIN$

 Roubos de informao Tenta roubar a seguinte informao:

iniciada uma rotina de logging depois de digitadar um dos seguintes textos:
   • Friendster
   • yahoo
   • gmail
   • login
   • bank
   • hotmail

– Captura:
     Teclar

 Informaes diversas  Procura uma ligao de internet contactando o seguinte web site:
   • www.google.com

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em Visual Basic.

Descrição enviada por Adriana Popa em sexta-feira, 9 de novembro de 2007
Descrição atualizada por Monica Ghitun em sexta-feira, 9 de novembro de 2007

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.