English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Levona.A
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Levona.A - Worm
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
Worm/Levona.A
Обнаружен:
05/07/2006
Вид:
Червь
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
От среднего до высокого
Потенциал повреждений:
От среднего до высокого
Файл статистики:
Да
Размер файла:
43.008 байт.
Контрольная сумма MD5:
4d28947f612176e9be3e24202c7a5508
Версия VDF:
6.35.00.120
Версия IVDF:
6.35.00.146
Общее
Методы распространения:
• Email
• Одноранговая сеть
Псевдонимы (аliases):
• Mcafee: W32/Avon@MM
• Kaspersky: Email-Worm.Win32.Levona.a
• TrendMicro: WORM_LEVONA.A
• VirusBuster: iworm I-Worm.Levona.A
• Eset: Win32/Levona.A worm
• Bitdefender: Win32.Worm.Levona.A
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Отключение приложений безопасности
• Снижает уровень настроек безопасности
• Изменение реестра
Файлы
Создаются собственные копии:
•
%SYSDIR%
\Emma.exe
•
%SYSDIR%
\Nova.exe
•
%SYSDIR%
\Alisa.exe
•
%WINDIR%
\Mstry.exe
• C:\Program Files\Common Files\Renova.exe
• D:\Program Files\Common Files\Renova.exe
• E:\Program Files\Common Files\Renova.exe
• F:\Program Files\Common Files\Renova.exe
• G:\Program Files\Common Files\Renova.exe
• c:\\winnt\regedit.exe
• c:\windows\regedit.exe
• c:\winnt\system32\regedit.exe
• c:\windows\system32\regedit.exe
• D:\winnt\regedit.exe
• D:\windows\regedit.exe
• D:\winnt\system32\regedit.exe
• D:\windows\system32\regedit.exe
• E:\winnt\regedit.exe
• E:\windows\regedit.exe
• E:\winnt\system32\regedit.exe
• E:\WINDOWS\system32\regedit.exe
• F:\WINNT\regedit.exe
• F:\WINDOWS\regedit.exe
• F:\WINNT\system32\regedit.exe
• F:\WINDOWS\system32\regedit.exe
• G:\WINNT\regedit.exe
• G:\WINDOWS\regedit.exe
• G:\WINNT\system32\regedit.exe
• G:\WINDOWS\system32\regedit.exe
• c:\windows\System\msconfig.exe
• c:\windows\system32\msconfig.exe
• c:\winnt\system32\msconfig.exe
Пытается запустить на выполнение следующие файлы:
– Имена файлов:
•
%SYSDIR%
\Emma.exe
•
%SYSDIR%
\Alisa.exe
Реестр
Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Renova = Nova.exe
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• Shell =
%PROGRAM FILES%
\Common Files\Renova.exe
Добавляются следующие ключи реестра:
– [HKCU\Software\Policies\Microsoft\Windows\System]
• DisableCMD = 0
– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
• DisableConfig = 1
• DisableSR = 1
Изменяются следующие ключи реестра:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
Прежнее значение:
• ProductName =
%Настройки пользователя%
• RegisteredOrganization =
%Настройки пользователя%
• RegisteredOwner =
%Настройки пользователя%
• ProductId =
%Настройки пользователя%
Новое значение:
• ProductName = RENOVA
• RegisteredOrganization = XENOVA
• RegisteredOwner = RENOVA
• ProductId = RENOVA
– [HKCU\Software\Microsoft\Windows\CurrentVersion]
Прежнее значение:
• RegisteredOrganization =
%Настройки пользователя%
• RegisteredOwner =
%Настройки пользователя%
• ProductId =
%Настройки пользователя%
• ProductName =
%Настройки пользователя%
Новое значение:
• RegisteredOrganization = XENOVA
• RegisteredOwner = RENOVA
• ProductId = RENOVA
• ProductName = RENOVA
– [HKCU\Control Panel\Desktop]
Прежнее значение:
• AutoEndTasks = 0
Новое значение:
• AutoEndTasks = 1
– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
Прежнее значение:
• AlternateShell = cmd.exe
Новое значение:
• AlternateShell =
%PROGRAM FILES%
\Common Files\Renova.exe
– [HKLM\SYSTEM\ControlSet
%Число%
\Control\SafeBoot]
Прежнее значение:
• AlternateShell = cmd.exe
Новое значение:
• AlternateShell =
%PROGRAM FILES%
\Common Files\Renova.exe
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Прежнее значение:
• Shell = explorer.exe
• Userinit = explorer.exe
Новое значение:
• Shell = explorer.exe
%PROGRAM FILES%
\Common Files\Renova.exe
• Userinit = explorer.exe
%PROGRAM FILES%
\Common Files\Renova.exe
Отключение редактора реестра и менеджера задач:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
Новое значение:
• DisableRegistryTools = 1
• DisabletaskMgr = 1
– [HKCU\Software\Microsoft\Windows\CurrentVersion\
Group Policy Objects\LocalUser\Software\Microsoft\Windows\
CurrentVersion\Policies\System]
Новое значение:
• DisableRegistryTools = 1
Различные настройки Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\HideFileExt]
Прежнее значение:
• Type = checked
Новое значение:
• Type =
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\NOHIDDEN]
Прежнее значение:
• CheckedValue =
%Настройки пользователя%
• DefaultValue =
%Настройки пользователя%
Новое значение:
• CheckedValue = 2
• DefaultValue = 2
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL]
Прежнее значение:
• CheckedValue =
%Настройки пользователя%
• DefaultValue =
%Настройки пользователя%
Новое значение:
• CheckedValue = 1
• DefaultValue = 2
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\HideFileExt]
Прежнее значение:
• CheckedValue =
%Настройки пользователя%
• DefaultValue =
%Настройки пользователя%
Новое значение:
• CheckedValue = 1
• DefaultValue = 1
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Прежнее значение:
• Hidden =
%Настройки пользователя%
• HideFileExt =
%Настройки пользователя%
Новое значение:
• Hidden = 2
• HideFileExt = 1
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Новое значение:
• NoDriveTypeAutoRun = 91
• NoSaveSettings = 0
• NoFolderOptions = 0
• NoFind = 1
• NoRun = 0
• NoControlPanel = 0
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
Новое значение:
• NoFolderOptions = 0
• NoControlPanel = 0
• NoFind = 1
• NoRun = 0
Email
Программа использует MAPI для отправки ответов на сохраненные письма. При этом устанавливается прямое соединение с сервером. Подробности приведены ниже:
От:
Адрес отправителя - учетная запись пользователя Outlook
Дизайн письма:
Кому:
%первоначальный отправитель%
Тема:
Re:
%первоначальная Тема%
Текст письма:
• Sorry, Saya lupa nih :)
Прикрепленный файл:
• Nova.scr
Прикрепленный файл является копией вредоносной программы:
Письмо выглядит следующим образом:
P2P
Предпринимаемые для инфицирования других систем в одноранговой сети действия: Для определения стандартной папки для загрузки происходит обращение к реестру:
• \Software\Kazaa\Transfer\DlDir0
Завершение процесса
Список завершаемых процессов:
• GUNBLADE.EXE
• CAV.EXE
Завершение процессов со следующими последовательностями в именах:
• RABIAH; RABI'AH; MANTIK; PLATO; KINDI; IMAMAH; MATURID; HARUN NAS;
IZUTSU; TEOLOGI; SUFI; PARTAI; HASAN ALBANA; IKHWANUL MUSLIMIN;
TAHRIR; ARISTOTELES; GIBRAN; GHAZALI; IHYA; GENDER; PLURALISME; SYIAH;
SYI'AH; DEMOCRA; DEMOKRA; LIBERAL; TASAWUF; SAMIR; YUNAN; QUTH;
EMANSIP; PHILOSOP; MUTAZILAH; MU'TAZILAH; FILOSOF; FILSAFAT;
REALPLAYER; CLEANER; MOVZX; REMOVER; ZANDA; MACHINE; CILLIN; CILIN;
AVAST; GRISOFT; PROCEXP; NORTON; EARTHLINK PROTECTION; WASHER;
ERTANTO; COMPACTBYTEAV; ADVANCED REGISTRY TRACER; KILL; CASTLECOPS;
SOPHOS; F-SECURE; REGISTRYFIX; PANDA; SECUNIA; TREND; SYMANTEC;
KASPERSKY; AVG; MCAFEE; NVC; NORMAN; VAKSIN; HACKER; COMMAND PROMPT;
PROCESS EXPLORER - SYSINTERNALS; SYSTEM32; PCMAV; HIJACK; KILLBOX;
FOLDER OPTION; CMD; WORM; TROJAN; VIRUS; ANTI; COMMAND BRO!!!; COMMAND
BRO !!!; JOWOBOT; FAJAR; SATRIO; KANTUK; KANGEN; CUEX; EVANTA; BORAX;
TITTA; CODE-X; MONTELLA; MONTELA; FERDINAND; CAMPBEL; CRUZ; ADRIANO;
KAHN; RECOBA; FIGO; RAUL; GONZALES; CISSE; GERRAD; LAMPARD; TERRY;
RIVALDO; GATUSO; GATTUSO; VAN DE; SHEARER; AIMAR; CLAUDIO; LOPEZ;
TOLDO; CANNAVARO; NESTA; UMIT; HAKAN; LARSON; LARSSON; ETO O; ETO'O;
MOVIC; MIDO; FABREGAS; HENRY; BARTHEZ; MANCINI; GILARD; BATIGOL;
BATISTUA; TOTTI; COLE; OWEN; DIDA; RONALDINHO; TREZEG; ROBINHO;
CARLOS; ROBERTO; RONALDO; MARADONA; PELE; VIDUKA; SALAS; KEWEL;
PERUZZI; HOWARD; ZANETI; ZANETTI; GIGGS; ROONEY; BUFFON; VIERI; PIRLO;
KAKA; ZLATAN; DECO; SHEVA; SHEVCHENKO; INZAGHI; PIERO; BECKHAM; BOCA
J; BORDEUX; MONACO; MUNICH; MUNCHEN; DORTMUND; LEVERKUSEN; SEVILLA;
VALENCIA; BARCA; BARCEL; MADRID; PARMA; LAZIO; ROMA; INTER; MILAN;
JUVE; NEWCASTLE; LIVERPOOL; ARSENAL; CHELSEA; MANCHESTER; CUMBU; KISS;
CIUM; RAYU; JULIET; ROMEO; VALENTINE; HENTAI; MANGA; ANIM; SUCK; FUCK;
NAKE; NUDE; TEEN; GIRL; PORN; SEKS; SEX; THOMAS; JEREM; MAYANG S; NIA
R; ZAYANT; DEWI; ANJASMARA; DIAN S; DIAN N; SOPIA; SOPHIA; MAYANG
SARI; CUT KEKE; FEBIOLA; FEBY; JIHAN; CUT TARI; RIKE DIAH; WIBOWO;
SARAH; AZAHRI; AZHARI; RIRIN; RATNASARI; TAMARA; ZUBIR; PRIMUS;
REVALDO; ENNO LERIAN; ENO LERIAN; DIAH; KADIR; DOYOK; ULFA; KOMENG;
JENIFER; JENNIFER; DICAPRIO; KRISTIN; ANGELLI; LEONARDO; KATE WIN;
EMMA WATSON; HARY POTTER; HARRY POTTER; GOSSIP; GOSIP; SASTRA; SENI;
ARTIS; BOLYWOOD; HOLYWOOD; SINETRON; VAGANZA; CELEBRI; SELEB; TSUBASA;
SLAM DUNK; SAMURAI-X; SAMURAI X; HATTORI; HATORI; KABUTO; SHIZUKA;
DORAEMON; NOBITA; INUYASHA; KENSHIN HIMURA; KOTARO MINAMI; KYOKO;
EMIKO SHIRATORI; FAYE WONG; UEMATSU; NUOBUO; NOUBUO; NOBUO; NUBUO;
MADONNA; MADONA; BENNINGTON; BENINGTON; GUN AND ROSE; GUN N ROSE;
BLUR; SAMMY; PEARL; NAZARE; FRENTE; CRANBER; RADIOHEAD; RADIO HEAD;
STING; SAYBIA; KEANE; GROBAN; ALTER; STEFAN; GWEN; MAROON; ANTHEM;
GROOVE COVARAGE; PRODIGY; AGUILERA; BEDING; METALLICA; GUN N'ROSES;
ALICIA KEYS; TATA YOUNG; BOY ZONE; MICHEL; MICHAEL; MICHEAL; MLTR;
MARTYN; MARTIN; SCORPION; LINKIN PARK; LINKINPARK; GREEN DAY;
GREENDAY; HOOBASTANK; PETER; WEST; SPICE; BRITNEY; DEDI DOR; NIA
DANIAT; DAHLIA; NIKE ARD; BAGASKARA; KATON; NAFF; TITIK PUSPA; TITIEK
PUSPA; DELON; SNADA; JOSHUA; SHERINA; SERIEUS; SERIUES; SEURIUS; 10 2
5; TENTOFIVE; TEN2FIVE; 10 TO 5; TEN TO FIVE; TEN 2 FIVE; CHRISYE;
SO7; SHEILA; GLENN; AURIL; AVRIL; OPICK; AGNES; ANANG; NUGIE; HADAD;
HADDAD; AB THREE; REZA; CAFEIN; CAFFEIN; RATU; RADJA; LALUNA; THE
RAIN; UTOPIA; SPARK; BASEJAM; ENDANK; JAVA JIVE; MARCEL; BUNGLON;
ANDRE HEHANU; FLANELA; BAIM; CANDIL; KOES P; MINORU; NUNO; YOVI; AUDY;
TERE; WAYANG; BASE JAM; JIKUSTIK; SAMSON; PAS BAND; BOOMERANG; NAIF;
COKELAT; KAPTEN BAND; TIC BAND; JAMRUD; KOTAK BAND; AMERICAN IDOL;
INDONESIAN IDOL; TEAM LO; BUNGA; TIPE-X; TIPE X; ELEMENT; EMINEM;
RAIHAN; RAYHAN; MELY; MELLY; UNGU; STINGKY; SLANK; INUL; PADI; IWAN
FAL; ADABAND; ADA BAND; ROSA; KRISDAYANTI; NURHALIZA; DEWA; ARY LASO;
ARY LASSO; ARI LASO; ARI LASSO; GIGI; THE 0THERS; CHEER; DANCE; SING;
SONG; MP 3; MP3; MARAWIS; NASYID; DANGDUT; MELODI; MELODY; SENANDUNG;
IRAMA; GITAR; GUITAR; NYANYI; LAGU; WINAMP; MUSIK; MUSIC; DANIAT;
PHILOSO; FUNNY; MALAS; SOUND; JPG; JPEG; RAGNAROK; FANTASY; IKHWANUL;
ARISTO; PLURAL; GAME; DEMOC; DEMOK; FAKE; NORWE; REMOVE; PROTECT;
COMPACT; REGISTRY; CASTLE; SOPH; SECUR; MCAFE; DEEP; HIJA; VIR; CRACK;
HACK; ACT; BECK; GAMB; FOTO; PHOTO; KASIH; TUNANG; PACAR; CINTA; LOVE;
JULIE; ROME; VALENT; LEONARD; KATE W; EMMA WAT; HARY; POTTER; HARRY;
ART; BOLY; HOLY; SINE; EMIKO; WONG; FAYE; UEMA; NUO; NOB; NUB; MADO;
BENING; BENNING; ROSE; GUN; ZONE; BOY; MICH; MART; SCORP; LINKIN;
GREEN; HOOB; RIF; DEDI D; NIKE; PUSPA; JOSH; SHERIN; TEN TO; TEN 2;
CHRIS; POTRET; NUGI; AUDI; AMERICA; ELEMEN; DANG
Производится поиск следующих последовательностей в памяти активных процессов. В случае обнаружения процессы завершаются:
• XMPLAYER.EXE; REALPLAY.EXE; ACDSEE.EXE; ALOGSERV.EXE; CM GRDIAN.EXE;
CMGRDIAN.EXE; RULAUNCH.EXE; VSMAIN.EXE; AVPCC.EXE; AVPM.EXE;
AVP32.EXE; AVWUPSRV.EXE; AVGNT.EXE; AVWIN.EXE; AVGEMC.EXE; AVGWB.DAT;
AVGCC.EXE; TROJAN GUARDER.EXE; ASHSIMPL.EXE; ASHQUICK.EXE; OPERA.EXE;
FIREFOX.EXE; IEXPLORE.EXE; TASKMGR.EXE; EMUSICCLIENT.EXE; ART.EXE;
NAVW32.EXE; CCLAW.EXE; NVCOD.EXE; WINAMP.EXE
Завершение процессов с одним из следующих имен окна:
• CompactbyteAV; Advanced Registry Tracer; Setup - iKnowPS; iKnowPS;
RamCleaner; System Cleaner; TuneUp RegistryCleaner; Antivirus Scanner;
Zanda's little helper; Norman Generic Fix; NVC v5.81 Setup; Norman
Virus Control - InstallShield Wizard; Process Explorer - Sysinternals:
www.sysinternals.com; Pocket Killbox; RegCleaner 4.1 by Jouni Vuorio;
Security Task Manager Versi shareware tanpa registrasi; Security Task
Manager; Installation; EULA; PowerDVD; Windows Media Player; Microsoft
Configuration Utility; System Restore; System Configuration Utility;
Restrictions; Registry Editor; Close Programs; Close Program; Task
Manager; Windows Script Host; HijackThis; HijackThis - v1.99.1;
Getting Started with Windows 2000; Folder Options
Разное
Мьютекс:
Создаются мьютексы:
• Renova Aliciana
• Renova Emira
Данные файла
Язык программирования:
Программа была написана на MS Visual C++.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX
Краткое описание см.
здесь
.
Описание добавлено: Andrei Gherman Tue, 18 Jul 2006 14:41 (GMT+1)
Описание обновлено: Andrei Gherman Wed, 19 Jul 2006 17:38 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.U
Worm/Netsky.J
Worm/Mytob.AT
Worm/Mytob.AD
Worm/Klez.E
BDS/McMaggot.A
Worm/McMaggot.A
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/Levona.A
Print this page
.gif)
