MoonLight.V - W32/MoonLight.V.worm
| Nombre común: MoonLight.V
Nombre técnico: W32/MoonLight.V.worm
Peligrosidad: Baja
Tipo: Gusano
Efectos: Su principal objetivo es propagarse a través de programas de intercambio de archivos punto a punto (P2P), y de correo electrónico. Llega al ordenador en un archivo con el icono que tienen por defecto las carpetas de Windows.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95/3.X; IIS
Fecha de detección: 16/12/2008
Detección actualizada: 23/12/2008
Estadísticas No
Descripción Breve
MoonLight.V es un gusano cuyo objetivo principal es propagarse y afectar al mayor número de ordenadores posible. Los medios que utiliza para propagarse son los programas de intercambio de archivos punto a punto (P2P) y el correo electrónico.
Efectos
El principal objetivo de MoonLight.V es propagarse y afectar al mayor número de ordenadores posible.
Además, realiza las siguientes acciones:
Llega al ordenador en un archivo con el icono que tienen por defecto las carpetas de Windows:
Impide el acceso a las siguientes aplicaciones:
- MSConfig
-Editor del Registro de Windows
Cuando se intenta acceder a alguna de estas aplicaciones, se ejecuta el Bloc de notas.
Utiliza diversas técnicas para dificultar su detección:
- Oculta los archivos y carpetas con atributo oculto.
- Oculta las extensiones de los archivos.
- Oculta los archivos del sistema operativo.
Metodo de Infección
MoonLight.V crea los siguientes archivos:
SERVICE.EXE, WINLOGON.EXE y T%dígitos aleatorios%.EXE, en las carpetas O%dígitos aleatorios%Z, creada por él mismo, Templates del directorio Documents and Settings del usuario que haya iniciado sesión.
SMSS.EXE, EMANGELOH.EXE y JA%dígitos aleatorios%.COM, en la carpeta M%dígitos aleatorios%, creada por él mismo, del directorio de Windows.
SA-%dígitos aleatorios%.EXE, en el directorio de Windows.
X%dígitos aleatorios%CIE.CMD, X%dígitos aleatorios%GO y %dígitos aleatorios%.EXE, en el directorio de sistema de Windows.
SQL.CMD, en el Menu Inicio\Programas del directorio Documents and Settings del usuario que haya iniciado sesión.
MoonLight.V crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\CONTROL\SAFEBOOT
ALTERNATESHELL= %dígitos aleatorios%.EXE
HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET002\CONTROL\SAFEBOOT
ALTERNATESHELL= %dígitos aleatorios%.EXE
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
T%dígitos aleatorios% = %sysdir%\%dígitos aleatorios%.EXE
donde %sysdir% es el directorio de sistema de Windows.
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
T%dígitos aleatorios% = %windir%\SA-%dígitos aleatorios%.EXE
donde %windir% es el directorio de Windows.
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\USER SHELL FOLDERS
COMMON STARTUP = %sysdir%\X%dígitos aleatorios%GO
Mediante estas entradas, MoonLight.V consigue ejecutarse cada vez que Winodws se inicia.
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM
DISABLEREGISTRYTOOLS= 1
Deshabilita el Editor del Registro de Windows.
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MSCONFIG.EXE
DEBUGGER = %windir%\NOTEPAD.EXE
Mediante esta entrada, cada vez que se ejecute la aplicación Msconfig, se ejecutará el Bloc de notas.
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\REGEDIT.EXE
DEBUGGER = %windir%\NOTEPAD.EXE
Mediante esta entrada, cada vez que se ejecute el Editor del Registro de Windows, se ejecutará el Bloc de notas.
MoonLight.V modifica las siguientes entradas del Registro de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
USERINIT= %sysdir%\USERINIT.EXE
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
USERINIT= %sysdir%\USERINIT.EXE , %windir%\M%dígitos aleatorios%\JA%dígitos aleatorios%.COM
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
SHELL= EXPLORER.EXE
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
SHELL= EXPLORER.EXE, C:\DOCUMENTS AND SETTINGS\%usuario%\TEMPLATES\O%dígitos aleatorios%Z\T%dígitos aleatorios%.EXE
donde %usuario% es el nombre de usuario que haya iniciado sesión.
MoonLight.V modifica estas entradas del Registro de Windows para ocultar su presencia y dificultar su detección:
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED
HIDDEN = 1
Cambia esta entrada por:
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED
HIDDEN = 0
Oculta los archivos y carpetas con atributo oculto.
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED
HIDEFILEEXT = 0
Cambia esta entrada por:
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED
HIDEFILEEXT = 1
Oculta las extensiones de los archivos.
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED
SHOWSUPERHIDDEN = 1
Cambia esta entrada por:
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED
SHOWSUPERHIDDEN = 0
Oculta los archivos del sistema operativo.
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\SHAREDACCESS
START = 2
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\SHAREDACCESS
START = 0
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED\FOLDER\SUPERHIDDEN
UNCHECKEDVALUE = 1
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED\FOLDER\SUPERHIDDEN
UNCHECKEDVALUE = 0
Método de Propagación
MoonLight.V se propaga a través de programas de intercambio de archivos punto a punto (P2P) y de correo electrónico.
1-. Propagación a través de P2P
Para ello, realiza el siguiente proceso:
Analiza el disco duro en busca de las siguientes carpetas, que corresponden a diferentes programas P2P:
Download
Upload
Share
Se copia en dichas carpetas con los siguientes nombres:
Blink 182 [spaces].exe
Data DosenKu [spaces] .exe
Gallery [spaces] .scr
Lagu - Server [spaces].scr
Love Song [spaces].scr
New mp3 BaraT !! [spaces].exe
Norman virus Control 5.18 [spaces] .exe
RaHasIA [spaces] .exe
THe Best Ungu [spaces] .scr
Titip Folder Jangan DiHapus [spaces].exe
TutoriaL HAcking [spaces] .exe
Windows Vista setup [spaces] .scr
Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por MoonLight.V, pensando que se trata de aplicaciones informáticas interesantes, software pirateado, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por MoonLight.V.
2-. Propagación a través de correo electrónico
MoonLight.V se propaga a través de correo electrónico en un mensaje con las siguientes caracterísiticas:
Remitente: uno de los siguientes:
12050075
Admin.
Anata
Astaza
B4bb1cool
BabbyBear
BInaSarana
Boleh
Colman
Davis
Emily
Fria
Gaul
HackersMinds
HellSpawn
Indo
Jagung-Bakar
JuwitaNingrum
Mansonisme
MooNLight
PLASA
Rita
sasUK3
SaZZA
Shit
Telkom
Titta
Warung
Yoseph2000
Asunto: uno de los siguientes:
Cek This
Hello
hey Indonesian porn Tiara lestari pic's
hi please see this file
RE:bla bla bla
RE:HeLLO GuYs
Registration Confirmation
Tolong
Tolong Aku..
Contenido: uno de la siguiente lista:
aku mahasiswa Bsi Margonda smt 3
Aku Mencari Wanita yang aku Cintai
dan cara menggunakan email mass
di lampiran ini terdapat curriculum vittae dan foto saya
password lampiran 55132098
For security reasons attached file is password protected. The password is 55132098
foto dan data Wanita tsb Thank's
free screen saver romance for you.
ini adalah cara terakhirku ,di lampiran ini terdapat
NB:Mohon di teruskan kesahabat anda
oh ya aku tahu anda dr milis ilmu komputer
please read again what i have written to you
Please Visit Our Web Site http://www.moo ght.com
thank's for you register your acount details are attached
yah aku sedang membutuhkan pekerjaan
Adjuntos: uno de los siguientes:
curriculum vittae.zip
file.bz2
Jojo
thisfile.gz
TITTA'S Picture.jar
USE_RAR_To_Extract.ace
Si se ejecuta el archivo adjunto, se descargará una copia del gusano en el ordenador afectado.
MoonLight.V se envía a los contactos del usuario utilizando su propio motor SMTP.
Otros Detalles
MoonLight.V está escrito en el lenguaje de programación Visual Basic v6. Este gusano tiene un tamaño de 128559 Bytes
|
|
Enviado con fecha: 31-12-2008 10:12:23 - Visto: 3362 veces.
Información extraida de la Web de Panda Antivirus.
Foro Virus
|
|