Имя:Worm/VB.BY.3
Обнаружен:04/07/2006
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:От среднего до высокого
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:35.176 байт.
Контрольная сумма MD5:72ac420Cef8d898ab1a66c5d79ce7d6b
Версия VDF:6.35.00.115
Версия IVDF:6.35.00.141 - понедельник, 10 июля 2006 г.

 Общее Методы распространения:
   • Email
   • Одноранговая сеть


Псевдонимы (аliases):
   •  Mcafee: W32/MoonLight.worm
   •  Kaspersky: Email-Worm.Win32.VB.by
   •  TrendMicro: WORM_BRONTOK.AH
   •  VirusBuster: I-Worm.VB.WEI
   •  Eset: Win32/NoonLight.F
   •  Bitdefender: Worm.Spawner.VB.BY


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файл
   • Использует собственный почтовый движок
   • Снижает уровень настроек безопасности
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %SYSDIR%\%Число%.exe
   • %SYSDIR%\X%Число%go\Z%Число%cie.cmd
   • %HOME%\Templates\%Число%Z\TUX%Число%.exe
   • %HOME%\Start Menu\Programs\startup\sql.cmd
   • %WINDIR%\M%Число%\Ja%Число%bLay.com
   • %WINDIR%\Ti%Число%ta.exe
   • %WINDIR%\sa-%Число%.exe
   • %WINDIR%\M%Число%\smss.exe
   • %WINDIR%\M%Число%\EmangEloh.exe
   • %HOME%\Templates\%Число%Z\winlogon.exe
   • %HOME%\Templates\%Число%Z\service.exe



Создается файл:

%SYSDIR%\msvbvm60.dll

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "T%Число%"="%WINDIR%\sa-%Число%.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "T%Число%"="%SYSDIR%\%Число%.exe"



Удаляются значения следующих ключей реестра:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ADie suka kamu
   • Bron-Spizaetus-cfirltrx
   • Bron-Spizaetus
   • Bron-Spizaetus-cgglmmrv
   • dkernel
   • lexplorer
   • YourUnintendes
   • YourUnintended
   • TryingToSpeak

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • SaTRio ADie X
   • Tok-Cirrhatus-1101
   • MomentEverComes
   • AllMyBallance
   • Tok-Cirrhatus



Добавляются следующие ключи реестра:

– HKCU\Software\VB and VBA Program Settings\noGods

– HKCU\Software\VB and VBA Program Settings\noGods\appActive
   • "winlogon.exe"="£¸ð"
   • "EmangEloh.exe"="i~¶Q"
   • "smss.exe"="r"
   • "service.exe"="²ê"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe
   • debugger"="%WINDIR%\notepad.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe
   • "debugger"="%WINDIR%\notepad.exe"

– HKCU\Software\VB and VBA Program Settings\untukmu\version
   • "me"="4"

– HKCR\scrfile
   • "(Default)"="File Folder"



Изменяются следующие ключи реестра:

– HKLM\SYSTEM\ControlSet002\Control\SafeBoot
   Прежнее значение:
   • "AlternateShell"="cmd.exe"
   Новое значение:
   • "AlternateShell"="%Число%.exe"

– HKLM\SYSTEM\ControlSet001\Control\SafeBoot
   Прежнее значение:
   • "AlternateShell"="cmd.exe"
   Новое значение:
   • "AlternateShell"="%Число%.exe"

Отключение Windows Firewall:
– HKLM\SYSTEM\ControlSet001\Services\SharedAccess
   Прежнее значение:
   • "Start"=%Настройки пользователя%
   Новое значение:
   • "Start"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Прежнее значение:
   • "ShowSuperHidden"=%Настройки пользователя%
   • "Hidden"=%Настройки пользователя%
   • "HideFileExt"=%Настройки пользователя%
   Новое значение:
   • "ShowSuperHidden"=dword:00000000
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001

Отключение редактора реестра и менеджера задач:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Прежнее значение:
   • "DisableRegistryTools"=dword:00000000
   Новое значение:
   • "DisableRegistryTools"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Прежнее значение:
   • "Userinit"="%SYSDIR%\userinit.exe"
   • "Shell"="explorer.exe"
   Новое значение:
   • "Userinit"="%SYSDIR%\userinit.exe , "%WINDIR%\M%Число%\Ja%numberbLay.com""
   • "Shell"="explorer.exe, "C:\Documents and Settings\cda101\Templates\O%Число%Z\TuxO%Число%Z.exe""

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты


Тема:
Одно из следующих:
   • Tolong Aku..
   • Tolong
   • hi please see this file
   • hey Indonesian porn Tiara lestari pic's
   • Registration Confirmation
   • Cek This
   • hello
   • RE:bla bla bla
   • RE:HeLLO GuYs



Тело:
Тело письма имеет один из следующих видов:
   • please read again what i have written to you
   • thank's for you register your acount details are attached
   • Aku Mencari Wanita yang aku Cintai
   • dan cara menggunakan email mass
   • ini adalah cara terakhirku ,di lampiran ini terdapat
   • foto dan data Wanita tsb Thank's
   • NB:Mohon di teruskan kesahabat anda
   • aku mahasiswa Bsi Margonda smt 3
   • yah aku sedang membutuhkan pekerjaan
   • oh ya aku tahu anda dr milis ilmu komputer
   • di lampiran ini terdapat curriculum vittae dan foto saya
   • password lampiran 55132098
   • For security reasons attached file is password protected. The password is 55132098
Тело письма имеет следующий вид:

   • free screen saver romance for you.
      Please Visit Our Web Site
     http://www.moonLight.com


Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
   • curriculum vittae.zip
   • USE_RAR_To_Extract.ace
   • ZIPPED.zip
   • FILEATTACH.bz2
   • Doc.gz
   • file.bz2
   • thisfile.gz
   • TITTA'S Picture.jar

Прикрепленный архивный файл содержит копию потенциально опасной программы.

 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • txt
   • tml
   • asp
   • wab
   • eml
   • doc
   • php
   • rtf


Создание адресов отправителя:
Для генерации адресов применяются следующие строки:
   • B4bb1cool; mansonisme; Yoseph2000; 12050075; CoolMan; BabbyBear;
      Jagung-Bakar; MooNLight; Rita; sasUK3; Davis; Titta; Anata; Emily;
      HellSpawn; Lia; Fria; admin; SaZZA; BInaSarana; JuwitaNingrum;
      HackersMinds



Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • bank; bront; dengines; Friendster; login; mcafee; MoonMail; norman;
      norton; novell; panda; sensasi; sophos; suport; Syman; Trend; vaksin;
      virus; xxx; yahoogroup; yourdomain; yoursite; yyyy


Присоединение последовательности символов:
Для получения IP адреса почтового сервера перед доменным именем указываются следующие строки:
   • smtp.
   • mail.
   • ns1.
   • mx1.
   • mail1.
   • mx.
   • mxs.
   • relay.
   • gate.

 P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия:   Производится поиск содержащих одну из следующих последовательностей знаков папок
   • upload
   • share
   • download

   При успешном завершении поиска создаются следующие файлы:
   • TutoriaL HAcking%знаки про
Описание добавил Irina Boldea в(о) четверг, 10 августа 2006 г.
Описание обновил Irina Boldea в(о) пятница, 11 августа 2006 г.

Назад . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Все права защищены.

Мой Аккаунт

https:// Это окно зашифровано для вашей безопасности.