Utilizamos Cookies de terceros para generar estadísticas de audiencia y mostrar publicidad personalizada analizando tu navegación. Si sigues navegando estarás aceptando su uso. Más información X
-
Portada Foro Ayuda Tutoriales Programas Blog Tecnología Drivers Videos
Windows | Android | iOS | Comunidad | Hazte Fan | Síguenos Buscador



MoonLight.V - W32/MoonLight.V.worm

Nombre común: MoonLight.V

Nombre técnico: W32/MoonLight.V.worm

Peligrosidad: Baja

Tipo: Gusano

Efectos: Su principal objetivo es propagarse a través de programas de intercambio de archivos punto a punto (P2P), y de correo electrónico. Llega al ordenador en un archivo con el icono que tienen por defecto las carpetas de Windows.

Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95/3.X; IIS

Fecha de detección: 16/12/2008

Detección actualizada: 23/12/2008

Estadísticas No

Descripción Breve

MoonLight.V es un gusano cuyo objetivo principal es propagarse y afectar al mayor número de ordenadores posible. Los medios que utiliza para propagarse son los programas de intercambio de archivos punto a punto (P2P) y el correo electrónico.

Efectos

El principal objetivo de MoonLight.V es propagarse y afectar al mayor número de ordenadores posible.

Además, realiza las siguientes acciones:

Llega al ordenador en un archivo con el icono que tienen por defecto las carpetas de Windows:



Impide el acceso a las siguientes aplicaciones:
- MSConfig
-Editor del Registro de Windows
Cuando se intenta acceder a alguna de estas aplicaciones, se ejecuta el Bloc de notas.
Utiliza diversas técnicas para dificultar su detección:
- Oculta los archivos y carpetas con atributo oculto.
- Oculta las extensiones de los archivos.
- Oculta los archivos del sistema operativo.
Metodo de Infección
MoonLight.V crea los siguientes archivos:

SERVICE.EXE, WINLOGON.EXE y T%dígitos aleatorios%.EXE, en las carpetas O%dígitos aleatorios%Z, creada por él mismo, Templates del directorio Documents and Settings del usuario que haya iniciado sesión.
SMSS.EXE, EMANGELOH.EXE y JA%dígitos aleatorios%.COM, en la carpeta M%dígitos aleatorios%, creada por él mismo, del directorio de Windows.
SA-%dígitos aleatorios%.EXE, en el directorio de Windows.
X%dígitos aleatorios%CIE.CMD, X%dígitos aleatorios%GO y %dígitos aleatorios%.EXE, en el directorio de sistema de Windows.
SQL.CMD, en el Menu Inicio\Programas del directorio Documents and Settings del usuario que haya iniciado sesión.

MoonLight.V crea las siguientes entradas en el Registro de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\CONTROL\SAFEBOOT
ALTERNATESHELL= %dígitos aleatorios%.EXE
HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET002\CONTROL\SAFEBOOT
ALTERNATESHELL= %dígitos aleatorios%.EXE
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
T%dígitos aleatorios% = %sysdir%\%dígitos aleatorios%.EXE
donde %sysdir% es el directorio de sistema de Windows.
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
T%dígitos aleatorios% = %windir%\SA-%dígitos aleatorios%.EXE
donde %windir% es el directorio de Windows.
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\USER SHELL FOLDERS
COMMON STARTUP = %sysdir%\X%dígitos aleatorios%GO
Mediante estas entradas, MoonLight.V consigue ejecutarse cada vez que Winodws se inicia.
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM
DISABLEREGISTRYTOOLS= 1
Deshabilita el Editor del Registro de Windows.
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MSCONFIG.EXE
DEBUGGER = %windir%\NOTEPAD.EXE
Mediante esta entrada, cada vez que se ejecute la aplicación Msconfig, se ejecutará el Bloc de notas.
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\REGEDIT.EXE
DEBUGGER = %windir%\NOTEPAD.EXE
Mediante esta entrada, cada vez que se ejecute el Editor del Registro de Windows, se ejecutará el Bloc de notas.

MoonLight.V modifica las siguientes entradas del Registro de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
USERINIT= %sysdir%\USERINIT.EXE
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
USERINIT= %sysdir%\USERINIT.EXE , %windir%\M%dígitos aleatorios%\JA%dígitos aleatorios%.COM
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
SHELL= EXPLORER.EXE
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
SHELL= EXPLORER.EXE, C:\DOCUMENTS AND SETTINGS\%usuario%\TEMPLATES\O%dígitos aleatorios%Z\T%dígitos aleatorios%.EXE
donde %usuario% es el nombre de usuario que haya iniciado sesión.
MoonLight.V modifica estas entradas del Registro de Windows para ocultar su presencia y dificultar su detección:

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED
HIDDEN = 1
Cambia esta entrada por:
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED
HIDDEN = 0
Oculta los archivos y carpetas con atributo oculto.
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED
HIDEFILEEXT = 0
Cambia esta entrada por:
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED
HIDEFILEEXT = 1
Oculta las extensiones de los archivos.
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED
SHOWSUPERHIDDEN = 1
Cambia esta entrada por:
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED
SHOWSUPERHIDDEN = 0
Oculta los archivos del sistema operativo.
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\SHAREDACCESS
START = 2
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\SHAREDACCESS
START = 0
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED\FOLDER\SUPERHIDDEN
UNCHECKEDVALUE = 1
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED\FOLDER\SUPERHIDDEN
UNCHECKEDVALUE = 0
Método de Propagación
MoonLight.V se propaga a través de programas de intercambio de archivos punto a punto (P2P) y de correo electrónico.

1-. Propagación a través de P2P

Para ello, realiza el siguiente proceso:

Analiza el disco duro en busca de las siguientes carpetas, que corresponden a diferentes programas P2P:
Download
Upload
Share
Se copia en dichas carpetas con los siguientes nombres:
Blink 182 [spaces].exe
Data DosenKu [spaces] .exe
Gallery [spaces] .scr
Lagu - Server [spaces].scr
Love Song [spaces].scr
New mp3 BaraT !! [spaces].exe
Norman virus Control 5.18 [spaces] .exe
RaHasIA [spaces] .exe
THe Best Ungu [spaces] .scr
Titip Folder Jangan DiHapus [spaces].exe
TutoriaL HAcking [spaces] .exe
Windows Vista setup [spaces] .scr
Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por MoonLight.V, pensando que se trata de aplicaciones informáticas interesantes, software pirateado, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por MoonLight.V.

2-. Propagación a través de correo electrónico

MoonLight.V se propaga a través de correo electrónico en un mensaje con las siguientes caracterísiticas:

Remitente: uno de los siguientes:
12050075
Admin.
Anata
Astaza
B4bb1cool
BabbyBear
BInaSarana
Boleh
Colman
Davis
Emily
Fria
Gaul
HackersMinds
HellSpawn
Indo
Jagung-Bakar
JuwitaNingrum
Mansonisme
MooNLight
PLASA
Rita
sasUK3
SaZZA
Shit
Telkom
Titta
Warung
Yoseph2000
Asunto: uno de los siguientes:
Cek This
Hello
hey Indonesian porn Tiara lestari pic's
hi please see this file
RE:bla bla bla
RE:HeLLO GuYs
Registration Confirmation
Tolong
Tolong Aku..
Contenido: uno de la siguiente lista:
aku mahasiswa Bsi Margonda smt 3
Aku Mencari Wanita yang aku Cintai
dan cara menggunakan email mass
di lampiran ini terdapat curriculum vittae dan foto saya
password lampiran 55132098
For security reasons attached file is password protected. The password is 55132098
foto dan data Wanita tsb Thank's
free screen saver romance for you.
ini adalah cara terakhirku ,di lampiran ini terdapat
NB:Mohon di teruskan kesahabat anda
oh ya aku tahu anda dr milis ilmu komputer
please read again what i have written to you
Please Visit Our Web Site http://www.moo ght.com
thank's for you register your acount details are attached
yah aku sedang membutuhkan pekerjaan
Adjuntos: uno de los siguientes:
curriculum vittae.zip
file.bz2
Jojo
thisfile.gz
TITTA'S Picture.jar
USE_RAR_To_Extract.ace
Si se ejecuta el archivo adjunto, se descargará una copia del gusano en el ordenador afectado.
MoonLight.V se envía a los contactos del usuario utilizando su propio motor SMTP.
Otros Detalles
MoonLight.V está escrito en el lenguaje de programación Visual Basic v6. Este gusano tiene un tamaño de 128559 Bytes


Enviado con fecha: 31-12-2008 10:12:23 - Visto: 3362 veces.


Ver Antivirus gratis - Volver al Índice de Virus.

Información extraida de la Web de Panda Antivirus.


Foro Virus
Tengo un virus test.reg y no consigo eliminarlo.
Ayuda para eliminar babylon.
Como descargo antivirus.
Memorias infectadas.
Telefono samsung f480 lento y se me olvido contraseñ.
Pc se bloquea al conectar disco duro.
Que antivirus me recomiendan para mi laptop.
El antivirus indica: ke la pc no esta protegida.
Como elimino un bootstrapper_0-uvdhqmap_.
Como apagar el x7.

Ver también:
Moonlight.v - w32/moonlight.v.wormMoonlight.v - w32/moonlight.v.worm »
Configurarequipos TVBajar Antivirus gratisCual es mi IPTest velocidadTrucosADSL
OverclockingForo ADSLDiccionarioWirelessMapa Segunda manoTiendas de informatica
Blog TecnologíaÚltimos VirusManualesSeguridadMapa ForoOrdenadores segunda mano
Aviso LegalPolitica de Privacidad
PORTADADirectorio


Buscar: en
ConfigurarEquipos.com® - 25 Abril 2024 | Informática Windows | Mapa Web | Foro Ayuda