Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/VB.EX
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:中等程度至高程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:133.632 字节
MD5 校检和:c140fa018a75e964c287f254a55fa5e6
VDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe
IVDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe

 况概描述 传播方法:
   • 电子邮件
   • 局域网络


别名:
   •  Mcafee: W32/MoonLight.worm
   •  Kaspersky: Email-Worm.Win32.VB.co
   •  Sophos: W32/Bobandy-F
   •  Eset: Win32/NoonLight.X
   •  Bitdefender: Worm.Moonlight.A


平台/操作系统:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 关闭安全应用程序
   • 植入文件
   • 植入恶意文件
   • 使用自置的电子邮件引擎
   • 降低系统安全设置
   • 记录按键
   • 注册表修改

 文件 它将本身复制到以下位置:
   • %WINDIR%\%随机字符串%\service.exe
   • %WINDIR%\%随机字符串%\winlogon.exe
   • %WINDIR%\%随机字符串%\system.exe
   • %WINDIR%\%随机字符串%\regedit.cmd
   • %WINDIR%\%随机字符串%\smss.exe
   • %WINDIR%\%随机字符串%\%随机字符串%.com
   • %WINDIR%\%随机字符串%\%随机字符串%.exe
   • %WINDIR%\lsass.exe
   • %SYSDIR%\%随机字符串%\%随机字符串%.cmd
   • %WINDIR%\%随机字符串%.exe
   • %SYSDIR%\%随机字符串%.exe
   • %HOME%\My Documents\%所有子目录%\%当前目录名%.exe
   • C:\RealPlayer13-5GOLD.exe
   • C:\Icon Cool-Editor 3.4.30315.exe
   • C:\CheatEngine52.exe
   • C:\framework-4.4.exe
   • C:\Vista Transformation Pack 4.0.exe
   • C:\Pack_Vista_Inspirat_1.6.exe
   • C:\DeepUnfreezerU1.6.exe
   • C:\Len
   • C:\Pack_Longhorn_Inspirat_1.6_code32547.exe
   • C:\TeamViewer_Setup.exe
   • C:\Licence.exe
   • C:\Pictures.exe
   • C:\Secret.exe
   • C:\Documents.exe
   • C:\Vivid.exe
   • C:\update.exe
   • C:\XXX.exe
   • C:\cool.exe
   • C:\vitae.exe
   • C:\error.exe



它会将其本身从存档中复制到以下位置:
   • %WINDIR%\%随机字符串%\MYpIC.zip



它会创建以下目录:
   • %WINDIR%\%随机字符串%



创建以下文件:

– 非恶意文件:
   • %WINDIR%\onceinabluemoon.mid

– %SYSDIR%\systear.dll
– %WINDIR%\MooNlight.txt 这是一个无恶意的文本文件,包含以下内容:
   • [Lunalight]
     
     I-WorM.LunaLIGHT.b Aliase W32/MoonLight.P@mm
     Copyleft @ Devil.inc

– %WINDIR%\moonlight.dll 进一步的调查表明,此文件是恶意软件。 检测为: TR/Moonlight.DLL.Dam

– %SYSDIR%\msvbvm60.dll
– %WINDIR%\cypreg.dll

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%随机字符串%"="%SYSDIR%\%随机字符串%.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%随机字符串%"="%WINDIR%\%随机字符串%.exe"



会删除以下注册表项的注册值:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "avgnt"
   • "drv_st_key"
   • "norman_zanda"
   • "MSMSG"
   • "Winamp"
   • "Word"
   • "Driver"
   • "WinUpdateSupervisor"
   • "Task"
   • "dago"
   • "SMA_nya_Artika"
   • "Putri_Indonesia"
   • "BabelPath"
   • "Alumni Smansa"
   • "ViriSetup"
   • "SMAN1_Pangkalpinang"
   • "Putri_Bangka"
   • "SysYuni"
   • "SysDiaz"
   • "SysRia"
   • "Pluto"
   • "DllHost"
   • "SaTRio ADie X"
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "Bron-Spizaetus"
   • "ADie suka kamu"
   • "winfix"
   • "templog"
   • "service"
   • "Grogotix"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "avgnt"
   • "drv_st_key"
   • "norman_zanda"
   • "MSMSG"
   • "Winamp"
   • "Word"
   • "Driver"
   • "WinUpdateSupervisor"
   • "Task"
   • "dago"
   • "SMA_nya_Artika"
   • "Putri_Indonesia"
   • "BabelPath"
   • "Alumni Smansa"
   • "ViriSetup"
   • "SMAN1_Pangkalpinang"
   • "Putri_Bangka"
   • "SysYuni"
   • "SysDiaz"
   • "SysRia"
   • "Pluto"
   • "DllHost"
   • "SaTRio ADie X"
   • "Tok-Cirrhatus"
   • "AllMyBallance"
   • "MomentEverComes"
   • "TryingToSpeak"
   • "YourUnintended"
   • "YourUnintendes"
   • "lexplorer"
   • "dkernel"
   • "Bron-Spizaetus"
   • "ADie suka kamu"
   • "winfix"
   • "templog"
   • "service"
   • "Grogotix"



会更改以下注册表项:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   旧值:
   • "Shell"="Explorer.exe"
   新值:
   • "Shell"="explorer.exe, "%WINDIR%\%随机字符串%\%随机字符串%.exe""

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   旧值:
   • "load"=""
   新值:
   • "load"=""%WINDIR%\%随机字符串%\%随机字符串%.com""

各种 Explorer 设置:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   旧值:
   • "Hidden"=%用户定义的设置%
   • "HideFileExt"=%用户定义的设置%
   • "ShowSuperHidden"=%用户定义的设置%
   新值:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

– [HKCR\scrfile]
   旧值:
   • @="Screen Saver"
   新值:
   • @="File Folder"

– [HKCR\exefile]
   旧值:
   • @="Application"
   新值:
   • @="File Folder"

– [HKLM\SOFTWARE\Classes\exefile]
   旧值:
   • @="Application"
   新值:
   • @="File Folder"

停用 Windows 防火墙:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   旧值:
   • "Start"=%用户定义的设置%
   新值:
   • "Start"=dword:00000000

各种 Explorer 设置:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   旧值:
   • "UncheckedValue"=%用户定义的设置%
   新值:
   • "UncheckedValue"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   旧值:
   • "DisableConfig"=%用户定义的设置%
   • "DisableSR"=%用户定义的设置%
   新值:
   • "DisableConfig"=dword:00000001
   • "DisableSR"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot]
   旧值:
   • "AlternateShell"="cmd.exe"
   新值:
   • "AlternateShell"="%随机字符串%.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe]
   新值:
   • "debugger"="%WINDIR%\notepad.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   新值:
   • "debugger"="%WINDIR%\%随机字符串%\regedit.cmd"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\rstrui.exe]
   新值:
   • "debugger"="%WINDIR%\notepad.exe"

 电子邮件 它包含集成的 SMTP 引擎,用于发送电子邮件。 将与目标服务器建立直接连接。 下面说明了它的特征:


发件人:
机器生成的地址。 请不要认为向您发送此电子邮件是出于发件人的本意。 他可能并不知道计算机已被感染,甚至可能根本没有被感染。 此外,您可能还会收到一些退回的电子邮件,通知您已被感染。 情况也可能不是这样。


收件人:
– 在系统上的特定文件中找到的电子邮件地址。


主题:
以下某项内容:
   • Tolong Aku..
   • Tolong
   • Aku Mencari Wanita yang aku Cintai
   • miss Indonesian
   • Cek This
   • hello
   • Japannes Porn



正文:
电子邮件的正文如以下某行所示:
   • dan cara menggunakan email mass
   • ini adalah cara terakhirku ,di lampiran ini terdapat
   • foto dan data Wanita tsb Thank's
   • NB:Mohon di teruskan kesahabat anda
   • aku mahasiswa BSI Margonda smt 4
   • yah aku sedang membutuhkan pekerjaan
   • oh ya aku tahu anda dr milis ilmu komputer
   • di lampiran ini terdapat curriculum vittae dan foto saya
   • hi
   • hey Indonesian porn
   • Agnes Monica pic's
   • Fucking With Me :D
   • please read again what i have written to you
   • Hot ...


附件:
附件的文件名是以下某个名称:
   • Doc %七位数的随机字符串%.zip
   • file %七位数的随机字符串%.zip
   • hell %七位数的随机字符串%.zip
   • Miyabi %七位数的随机字符串%.zip
   • nadine %七位数的随机字符串%.zip
   • need you %七位数的随机字符串%.zip
   • thisfile %七位数的随机字符串%.zip
   • video %七位数的随机字符串%.zip

该附件是包含恶意软件本身副本的存档。



电子邮件可能如下所示:



 邮件  为 FROM (“发件人”) 字段生成地址:
为了生成地址,它会使用以下字符串:
   • Anton; Firmansyah; Joko; Titta; Lanelitta; Ami; Riri; Fransisca;
      Claudia; Fransiska; Cicilia; sisilia; Hilda; Nadine; Ida; Julia; Nana;
      Joe; CoolMan; Vivi; Valentina; Linda; Rita; sasuke; Davis; Anata;
      Emily; HellSpawn; Lia; Fria; admin; SaZZA; Susi; Agnes; JuwitaNingrum;
      Natalia


该域是以下某个域:
   • Lovemail.com
   • hackersmail.com
   • hotmail.com
   • gmail.com
   • msn.com
   • yahoo.com.sg
它不会向包含以下某个字符串的地址发送电子邮件:
   • security; avira; norman; norton; panda; mcafee; Syman; sophos; Trend;
      vaksin; novell; virus
为了获取电子邮件服务器的 IP 地址,它能够在域名前追加以下字符串:
   • smtp.
   • mail.
   • ns1.
   • mx1.
   • mail1.
   • mx.
   • mxs.
   • relay.
   • gate.

 网络感染 该恶意软件会尝试以下方式连接其他计算机来作广泛传播/感染。

它会将其本身的副本植入以下网络共享中:
   • \IPC$
   • \ADMIN$

 窃取 它会尝试窃取以下信息:

– 在输入与以下某个字符串匹配的按键之后,启动日志记录例程:
   • Friendster
   • yahoo
   • gmail
   • login
   • bank
   • hotmail

– 它会捕获:
    • 按键

 其他  通过访问以下网站来检查 Internet 连接:
   • www.google.com

 文件详细信息 编程语言:
该恶意软件程序是用 Visual Basic 编写的。

Açıklamayı yerleştiren Adriana Popa tarihinde 9 Kasım 2007 Cuma
Açıklamayı güncelleyen: Monica Ghitun tarihinde 9 Kasım 2007 Cuma

Geri . . . .
https:// Bu pencere güvenlik amacıyla şifrelenmiştir.