English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Levona.A
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Levona.A - Worm
Ver também
Sumário
Descrição completa
Estatísticas
How would you rate this information?
Worthless
Excellent
Vírus
Worm/Levona.A
Data em que surgiu:
05/07/2006
Tipo:
Worm
Incluído na lista "In The Wild"
Não
Nível de danos:
Baixo
Nível de distribuição:
De médio a elevado
Nível de risco:
De médio a elevado
Ficheiro estático:
Sim
Tamanho:
43.008 Bytes
MD5 checksum:
4d28947f612176e9be3e24202c7a5508
Versão VDF:
6.35.00.120
Versão IVDF:
6.35.00.146
Vulgarmente
Meios de transmissão:
• E-mail
• Peer to Peer
Alias:
• Mcafee: W32/Avon@MM
• Kaspersky: Email-Worm.Win32.Levona.a
• TrendMicro: WORM_LEVONA.A
• VirusBuster: iworm I-Worm.Levona.A
• Eset: Win32/Levona.A worm
• Bitdefender: Win32.Worm.Levona.A
Sistemas Operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Efeitos secundários:
• Desactiva aplicações de segurança
• Baixa as definições de segurança
• Altera o registo do Windows
Ficheiros
Autocopia-se para as seguintes localizações
•
%SYSDIR%
\Emma.exe
•
%SYSDIR%
\Nova.exe
•
%SYSDIR%
\Alisa.exe
•
%WINDIR%
\Mstry.exe
• C:\Program Files\Common Files\Renova.exe
• D:\Program Files\Common Files\Renova.exe
• E:\Program Files\Common Files\Renova.exe
• F:\Program Files\Common Files\Renova.exe
• G:\Program Files\Common Files\Renova.exe
• c:\\winnt\regedit.exe
• c:\windows\regedit.exe
• c:\winnt\system32\regedit.exe
• c:\windows\system32\regedit.exe
• D:\winnt\regedit.exe
• D:\windows\regedit.exe
• D:\winnt\system32\regedit.exe
• D:\windows\system32\regedit.exe
• E:\winnt\regedit.exe
• E:\windows\regedit.exe
• E:\winnt\system32\regedit.exe
• E:\WINDOWS\system32\regedit.exe
• F:\WINNT\regedit.exe
• F:\WINDOWS\regedit.exe
• F:\WINNT\system32\regedit.exe
• F:\WINDOWS\system32\regedit.exe
• G:\WINNT\regedit.exe
• G:\WINDOWS\regedit.exe
• G:\WINNT\system32\regedit.exe
• G:\WINDOWS\system32\regedit.exe
• c:\windows\System\msconfig.exe
• c:\windows\system32\msconfig.exe
• c:\winnt\system32\msconfig.exe
Tenta executar o seguinte ficheiro:
– Executa um dos seguintes ficheiros:
•
%SYSDIR%
\Emma.exe
•
%SYSDIR%
\Alisa.exe
Registry (Registo do Windows)
São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Renova = Nova.exe
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• Shell =
%PROGRAM FILES%
\Common Files\Renova.exe
São adicionadas as seguintes chaves ao registo:
– [HKCU\Software\Policies\Microsoft\Windows\System]
• DisableCMD = 0
– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
• DisableConfig = 1
• DisableSR = 1
Altera as seguintes chaves de registo do Windows:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
Valor anterior:
• ProductName =
%definições do utilizador %
• RegisteredOrganization =
%definições do utilizador %
• RegisteredOwner =
%definições do utilizador %
• ProductId =
%definições do utilizador %
Valor recente:
• ProductName = RENOVA
• RegisteredOrganization = XENOVA
• RegisteredOwner = RENOVA
• ProductId = RENOVA
– [HKCU\Software\Microsoft\Windows\CurrentVersion]
Valor anterior:
• RegisteredOrganization =
%definições do utilizador %
• RegisteredOwner =
%definições do utilizador %
• ProductId =
%definições do utilizador %
• ProductName =
%definições do utilizador %
Valor recente:
• RegisteredOrganization = XENOVA
• RegisteredOwner = RENOVA
• ProductId = RENOVA
• ProductName = RENOVA
– [HKCU\Control Panel\Desktop]
Valor anterior:
• AutoEndTasks = 0
Valor recente:
• AutoEndTasks = 1
– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
Valor anterior:
• AlternateShell = cmd.exe
Valor recente:
• AlternateShell =
%PROGRAM FILES%
\Common Files\Renova.exe
– [HKLM\SYSTEM\ControlSet
%número%
\Control\SafeBoot]
Valor anterior:
• AlternateShell = cmd.exe
Valor recente:
• AlternateShell =
%PROGRAM FILES%
\Common Files\Renova.exe
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Valor anterior:
• Shell = explorer.exe
• Userinit = explorer.exe
Valor recente:
• Shell = explorer.exe
%PROGRAM FILES%
\Common Files\Renova.exe
• Userinit = explorer.exe
%PROGRAM FILES%
\Common Files\Renova.exe
Home page do Internet Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
Valor recente:
• DisableRegistryTools = 1
• DisabletaskMgr = 1
– [HKCU\Software\Microsoft\Windows\CurrentVersion\
Group Policy Objects\LocalUser\Software\Microsoft\Windows\
CurrentVersion\Policies\System]
Valor recente:
• DisableRegistryTools = 1
Desactiva o Regedit e o Gestor de Tarefas:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\HideFileExt]
Valor anterior:
• Type = checked
Valor recente:
• Type =
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\NOHIDDEN]
Valor anterior:
• CheckedValue =
%definições do utilizador %
• DefaultValue =
%definições do utilizador %
Valor recente:
• CheckedValue = 2
• DefaultValue = 2
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL]
Valor anterior:
• CheckedValue =
%definições do utilizador %
• DefaultValue =
%definições do utilizador %
Valor recente:
• CheckedValue = 1
• DefaultValue = 2
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\HideFileExt]
Valor anterior:
• CheckedValue =
%definições do utilizador %
• DefaultValue =
%definições do utilizador %
Valor recente:
• CheckedValue = 1
• DefaultValue = 1
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Valor anterior:
• Hidden =
%definições do utilizador %
• HideFileExt =
%definições do utilizador %
Valor recente:
• Hidden = 2
• HideFileExt = 1
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Valor recente:
• NoDriveTypeAutoRun = 91
• NoSaveSettings = 0
• NoFolderOptions = 0
• NoFind = 1
• NoRun = 0
• NoControlPanel = 0
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
Valor recente:
• NoFolderOptions = 0
• NoControlPanel = 0
• NoFind = 1
• NoRun = 0
E-mail
Utiliza o Messaging Application Programming Interface (MAPI) para responder a e-mails guardados na caixa de entrada. As características são as seguintes:
De:
O endereço do remetente é a conta do utilizador do Outlook.
Formato do email:
Para:
%remetente original%
Assunto:
Re:
%assunto original%
Body:
• Sorry, Saya lupa nih :)
Atalho:
• Nova.scr
O ficheiro de atalho é uma cópia do malware.
O email pode ser parecido com o seguinte:
P2P
De modo a infectar sistemas na comunidade P2P executa a seguinte acção: Obtém a pasta partilhada examinando a chave de registo seguinte:
• \Software\Kazaa\Transfer\DlDir0
Terminar o processo
A seguinte lista de processos são terminados:
• GUNBLADE.EXE
• CAV.EXE
São terminados os processos com um dos seguintes textos:
• RABIAH; RABI'AH; MANTIK; PLATO; KINDI; IMAMAH; MATURID; HARUN NAS;
IZUTSU; TEOLOGI; SUFI; PARTAI; HASAN ALBANA; IKHWANUL MUSLIMIN;
TAHRIR; ARISTOTELES; GIBRAN; GHAZALI; IHYA; GENDER; PLURALISME; SYIAH;
SYI'AH; DEMOCRA; DEMOKRA; LIBERAL; TASAWUF; SAMIR; YUNAN; QUTH;
EMANSIP; PHILOSOP; MUTAZILAH; MU'TAZILAH; FILOSOF; FILSAFAT;
REALPLAYER; CLEANER; MOVZX; REMOVER; ZANDA; MACHINE; CILLIN; CILIN;
AVAST; GRISOFT; PROCEXP; NORTON; EARTHLINK PROTECTION; WASHER;
ERTANTO; COMPACTBYTEAV; ADVANCED REGISTRY TRACER; KILL; CASTLECOPS;
SOPHOS; F-SECURE; REGISTRYFIX; PANDA; SECUNIA; TREND; SYMANTEC;
KASPERSKY; AVG; MCAFEE; NVC; NORMAN; VAKSIN; HACKER; COMMAND PROMPT;
PROCESS EXPLORER - SYSINTERNALS; SYSTEM32; PCMAV; HIJACK; KILLBOX;
FOLDER OPTION; CMD; WORM; TROJAN; VIRUS; ANTI; COMMAND BRO!!!; COMMAND
BRO !!!; JOWOBOT; FAJAR; SATRIO; KANTUK; KANGEN; CUEX; EVANTA; BORAX;
TITTA; CODE-X; MONTELLA; MONTELA; FERDINAND; CAMPBEL; CRUZ; ADRIANO;
KAHN; RECOBA; FIGO; RAUL; GONZALES; CISSE; GERRAD; LAMPARD; TERRY;
RIVALDO; GATUSO; GATTUSO; VAN DE; SHEARER; AIMAR; CLAUDIO; LOPEZ;
TOLDO; CANNAVARO; NESTA; UMIT; HAKAN; LARSON; LARSSON; ETO O; ETO'O;
MOVIC; MIDO; FABREGAS; HENRY; BARTHEZ; MANCINI; GILARD; BATIGOL;
BATISTUA; TOTTI; COLE; OWEN; DIDA; RONALDINHO; TREZEG; ROBINHO;
CARLOS; ROBERTO; RONALDO; MARADONA; PELE; VIDUKA; SALAS; KEWEL;
PERUZZI; HOWARD; ZANETI; ZANETTI; GIGGS; ROONEY; BUFFON; VIERI; PIRLO;
KAKA; ZLATAN; DECO; SHEVA; SHEVCHENKO; INZAGHI; PIERO; BECKHAM; BOCA
J; BORDEUX; MONACO; MUNICH; MUNCHEN; DORTMUND; LEVERKUSEN; SEVILLA;
VALENCIA; BARCA; BARCEL; MADRID; PARMA; LAZIO; ROMA; INTER; MILAN;
JUVE; NEWCASTLE; LIVERPOOL; ARSENAL; CHELSEA; MANCHESTER; CUMBU; KISS;
CIUM; RAYU; JULIET; ROMEO; VALENTINE; HENTAI; MANGA; ANIM; SUCK; FUCK;
NAKE; NUDE; TEEN; GIRL; PORN; SEKS; SEX; THOMAS; JEREM; MAYANG S; NIA
R; ZAYANT; DEWI; ANJASMARA; DIAN S; DIAN N; SOPIA; SOPHIA; MAYANG
SARI; CUT KEKE; FEBIOLA; FEBY; JIHAN; CUT TARI; RIKE DIAH; WIBOWO;
SARAH; AZAHRI; AZHARI; RIRIN; RATNASARI; TAMARA; ZUBIR; PRIMUS;
REVALDO; ENNO LERIAN; ENO LERIAN; DIAH; KADIR; DOYOK; ULFA; KOMENG;
JENIFER; JENNIFER; DICAPRIO; KRISTIN; ANGELLI; LEONARDO; KATE WIN;
EMMA WATSON; HARY POTTER; HARRY POTTER; GOSSIP; GOSIP; SASTRA; SENI;
ARTIS; BOLYWOOD; HOLYWOOD; SINETRON; VAGANZA; CELEBRI; SELEB; TSUBASA;
SLAM DUNK; SAMURAI-X; SAMURAI X; HATTORI; HATORI; KABUTO; SHIZUKA;
DORAEMON; NOBITA; INUYASHA; KENSHIN HIMURA; KOTARO MINAMI; KYOKO;
EMIKO SHIRATORI; FAYE WONG; UEMATSU; NUOBUO; NOUBUO; NOBUO; NUBUO;
MADONNA; MADONA; BENNINGTON; BENINGTON; GUN AND ROSE; GUN N ROSE;
BLUR; SAMMY; PEARL; NAZARE; FRENTE; CRANBER; RADIOHEAD; RADIO HEAD;
STING; SAYBIA; KEANE; GROBAN; ALTER; STEFAN; GWEN; MAROON; ANTHEM;
GROOVE COVARAGE; PRODIGY; AGUILERA; BEDING; METALLICA; GUN N'ROSES;
ALICIA KEYS; TATA YOUNG; BOY ZONE; MICHEL; MICHAEL; MICHEAL; MLTR;
MARTYN; MARTIN; SCORPION; LINKIN PARK; LINKINPARK; GREEN DAY;
GREENDAY; HOOBASTANK; PETER; WEST; SPICE; BRITNEY; DEDI DOR; NIA
DANIAT; DAHLIA; NIKE ARD; BAGASKARA; KATON; NAFF; TITIK PUSPA; TITIEK
PUSPA; DELON; SNADA; JOSHUA; SHERINA; SERIEUS; SERIUES; SEURIUS; 10 2
5; TENTOFIVE; TEN2FIVE; 10 TO 5; TEN TO FIVE; TEN 2 FIVE; CHRISYE;
SO7; SHEILA; GLENN; AURIL; AVRIL; OPICK; AGNES; ANANG; NUGIE; HADAD;
HADDAD; AB THREE; REZA; CAFEIN; CAFFEIN; RATU; RADJA; LALUNA; THE
RAIN; UTOPIA; SPARK; BASEJAM; ENDANK; JAVA JIVE; MARCEL; BUNGLON;
ANDRE HEHANU; FLANELA; BAIM; CANDIL; KOES P; MINORU; NUNO; YOVI; AUDY;
TERE; WAYANG; BASE JAM; JIKUSTIK; SAMSON; PAS BAND; BOOMERANG; NAIF;
COKELAT; KAPTEN BAND; TIC BAND; JAMRUD; KOTAK BAND; AMERICAN IDOL;
INDONESIAN IDOL; TEAM LO; BUNGA; TIPE-X; TIPE X; ELEMENT; EMINEM;
RAIHAN; RAYHAN; MELY; MELLY; UNGU; STINGKY; SLANK; INUL; PADI; IWAN
FAL; ADABAND; ADA BAND; ROSA; KRISDAYANTI; NURHALIZA; DEWA; ARY LASO;
ARY LASSO; ARI LASO; ARI LASSO; GIGI; THE 0THERS; CHEER; DANCE; SING;
SONG; MP 3; MP3; MARAWIS; NASYID; DANGDUT; MELODI; MELODY; SENANDUNG;
IRAMA; GITAR; GUITAR; NYANYI; LAGU; WINAMP; MUSIK; MUSIC; DANIAT;
PHILOSO; FUNNY; MALAS; SOUND; JPG; JPEG; RAGNAROK; FANTASY; IKHWANUL;
ARISTO; PLURAL; GAME; DEMOC; DEMOK; FAKE; NORWE; REMOVE; PROTECT;
COMPACT; REGISTRY; CASTLE; SOPH; SECUR; MCAFE; DEEP; HIJA; VIR; CRACK;
HACK; ACT; BECK; GAMB; FOTO; PHOTO; KASIH; TUNANG; PACAR; CINTA; LOVE;
JULIE; ROME; VALENT; LEONARD; KATE W; EMMA WAT; HARY; POTTER; HARRY;
ART; BOLY; HOLY; SINE; EMIKO; WONG; FAYE; UEMA; NUO; NOB; NUB; MADO;
BENING; BENNING; ROSE; GUN; ZONE; BOY; MICH; MART; SCORP; LINKIN;
GREEN; HOOB; RIF; DEDI D; NIKE; PUSPA; JOSH; SHERIN; TEN TO; TEN 2;
CHRIS; POTRET; NUGI; AUDI; AMERICA; ELEMEN; DANG
São pesquisados os seguintes textos nos processos activos. Se os encontrar os processos são terminados.:
• XMPLAYER.EXE; REALPLAY.EXE; ACDSEE.EXE; ALOGSERV.EXE; CM GRDIAN.EXE;
CMGRDIAN.EXE; RULAUNCH.EXE; VSMAIN.EXE; AVPCC.EXE; AVPM.EXE;
AVP32.EXE; AVWUPSRV.EXE; AVGNT.EXE; AVWIN.EXE; AVGEMC.EXE; AVGWB.DAT;
AVGCC.EXE; TROJAN GUARDER.EXE; ASHSIMPL.EXE; ASHQUICK.EXE; OPERA.EXE;
FIREFOX.EXE; IEXPLORE.EXE; TASKMGR.EXE; EMUSICCLIENT.EXE; ART.EXE;
NAVW32.EXE; CCLAW.EXE; NVCOD.EXE; WINAMP.EXE
São terminados os processos que contêm um dos titulos seguintes:
• CompactbyteAV; Advanced Registry Tracer; Setup - iKnowPS; iKnowPS;
RamCleaner; System Cleaner; TuneUp RegistryCleaner; Antivirus Scanner;
Zanda's little helper; Norman Generic Fix; NVC v5.81 Setup; Norman
Virus Control - InstallShield Wizard; Process Explorer - Sysinternals:
www.sysinternals.com; Pocket Killbox; RegCleaner 4.1 by Jouni Vuorio;
Security Task Manager Versi shareware tanpa registrasi; Security Task
Manager; Installation; EULA; PowerDVD; Windows Media Player; Microsoft
Configuration Utility; System Restore; System Configuration Utility;
Restrictions; Registry Editor; Close Programs; Close Program; Task
Manager; Windows Script Host; HijackThis; HijackThis - v1.99.1;
Getting Started with Windows 2000; Folder Options
Informações diversas
Mutex:
Cria os seguintes Mutexes:
• Renova Aliciana
• Renova Emira
Detalhes do ficheiro
Linguagem de programação:
Ficheiro escrito em MS Visual C++.
Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• UPX
Veja
aqui
uma breve descrição.
Descrição adicionada por Andrei Gherman em Tue, 18 Jul 2006 14:41 (GMT+1)
Descrição adicionada por Andrei Gherman em Wed, 19 Jul 2006 17:38 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.CFI.Gen
Worm/Kidala.G
Worm/Mytob.AD
Worm/Mytob.AT
Worm/Mytob.BF
BDS/Frauder.bu
DR/Autoit.I.1
TR/Spy.ZBot.DFR
TR/VB.aei
EXP/Java.Gimsh.A.40
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/Levona.A
Print this page
.gif)
