Moba.A

Létrehozva: 2007-11-06, 16:50:00

Utolsó frissítés: 2009-11-09, 17:58:43

Platform: Win32

Típus: féreg

Méret: 22668

Dátum: 2004-04-20

Tömörítő: FSG

Veszélyeztetett operációs rendszer(ek): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP

Nem veszélyeztetett operációs rendszer(ek): Windows 3.xx, DOS, Linux, Unix, Solaris, MacOS, Mac OS X, OS2

Elnevezések:

A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik. Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja, de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven. Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző verziója esetén is más és más lehet.

A Win32/Moba.A féreg elnevezései az egyes vírusvédelmek szerint:

vírusvédelem	elnevezés
Avast	Win32:Mimail-V
AVG	I-Worm/Mimail.T
BitDefender	Win32.Mimail.R@mm
e-Trust	Win32/Mimail.V
F-PROT	W32/Malware!b6cd
F-Secure	Email-Worm.Win32.Mimail.r
Ikarus	P2P-Worm.Win32.SpyBot
Kaspersky	Email-Worm.Win32.Mimail.r
McAfee	W32/Mimail.v@MM(Virus)

vírusvédelem	elnevezés
Microsoft	Win32/Mimail.V@mm
NOD32 (ESET)	Win32/Moba.A
Norton Antivirus	W32.Opasa@mm
Panda	W32/Mimail.V.worm
Rising Antivirus	Worm.Mimail.x
Sophos	W32/Mimail-V
Trend Micro	WORM_MIMAIL.GEN
VirusBuster	Worm.P2P.Moba.A

szervezet	elnevezés
Wildlist	W32/Mimail.V-mm

Telepítés:

Az interneten vagy lokális hálózaton terjedő kártevők elsődleges célja, hogy egy másik számítógépet fertőzzenek meg. A megtámadott számítógép működésébe, annak operációs rendszerébe általában úgy épülnek be, hogy az egy esetleges újraindítást (boot-olást) követően is aktivízálja a kártevő kódját. Ezt általában úgy érik el, hogy a kártevő kódját tartalmazó fájl(oka)t hoznak létre vagy meglévő fájl(oka)t módosítanak, illetve beállítanak néhány bejegyzést a rendszerleíró adatbázisban, ami arra utasítja az induló operációs rendszert, hogy a frissen elhelyezett kártékony kódot is el kell indítani. Emellett - nem közvetlenül az újraindítás érdekében - más területeken (könyvtárakban) is létrehoznak magukból másolatot. Ennek kettős célja van: Egyrészt egy esetleges vírusirtást követően egy eldugott helyen megmaradhatnak a fertőzött állományok, másrészt helyi hálózatokban, megosztott könyvtárakban, peer-to-peer hálózatokban is képes terjedni. Kihasználhatják továbbá a Windows alapértelmezés szerinti beállítását is, miszerint egy létrehozott AUTORUN.INF nevű fájllal el lehet érni, hogy egy meghajtó megnyitásakor is aktivizálódjon a kártékony kód.

A féreg az alábbi fájlokat hozza létre:

A Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32) véletlenszerűen generált névvel, melyeknek kiterjesztése az alábbiak egyike:

tmp
exe
folder
htm

A Win32/Moba.A féreg az ideiglenes (Temp) mappában véletlenszerűen generált névvel fájl(oka)t hozhat létre, melyeknek kiterjesztése az alábbiak egyike:

dmp
tmp.dir00
tmp

A Win32/Moba.A féreg a rendszerleíró adatbázisba az alábbi helyeken véletlenszerű tartalommal hoz létre bejegyzéseket:

[HKEY_CURRENT_USER\Software\Nico Mak Computing\WinZip\filemenu]
[HKEY_USERS\S-1-5-21-1060284298-1770027372-839522115-1003\Software\Nico Mak Computing\WinZip\filemenu]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_USERS\S-1-5-21-1060284298-1770027372-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run]

A vírusok, férgek képesek arra, hogy megpróbálják a vírusvédelmi, illetve tűzfalakhoz tartozó folyamatokat leállítani. Ennek kettős célja van: egyrészt megnehezítik, hogy a felhasználó tudomást szerezzen a fertőzésről, másrészt egy esetleges hátsóajtó komponens kijutását is könnyebbé tehetik. Megtehetik azt is, hogy bizonyos, az internetre irányuló forgalmat elterelnek, egyes oldalak elérését megakadályozzák.

A Win32/Moba.A féreg leállítja azon folyamatokat, melyek nevében szerepelnek a következő szótöredékek:

zonealarm
zonalm2601
zonalarm
zauinst
zatutorzauinst
teljes lista...

zonealarm
zonalm2601
zonalarm
zauinst
zatutorzauinst
zatutor
zapsetup3001
zapro
xpf202en
wyvernworksfirewall
wsbgate
wrctrl
wradmin
wnt
winsfcm
winservices
winroute
winrecon
winppr32
winmgm32
wink
winhlpp32
wingate
wimmun32
whoswatchingme
wgfe95
wfindv32
webtrap
webscanx
webscan
watchdog
w9x
w32dsm89
vvstat
vswinperse
vswinntse
vswin9xe
vsstat
vsscan40
vsmon
vsmain
vsisetup
vshwin32
vsecomr
vsched
vscenu6.02d30
vscan40
vscan
vptray
vpfw30s
vpc42
vpc32
vnpc3000
vnlan300
virusmdpersonalfirewall
vir-help
vfsetup
vettray
vet98
vet95
vet32
vcsetup
vcontrol
vcleaner
vccmserv
vbwinntw
vbwin9x
vbust
vbcons
vbcmserv
update
undoboot
trojantrap3
trjsetup
trjscan
tracert
tracerpt
tmntsrv
titaninxp
titanin
tgbob
tftpd
tfak5
tfak
tds-3
tds2-nt
tds2-98
tds2
tcpsvs32
tcm
tca
tbscan
tauscan
taumon
taskmon
syshelp
sysedit
sysdoc32
symtray
symproxysvc
swnetsup
sweepsrv.sys
sweepnet
sweep95
sweep
supporter5
supftrl
st2
ss3edit
srwatch
spyxx
spider
sphinx
spf
sofi
smss
smc
shn
shellspyinstall
sharedaccess
sgssfw32
sfc
setupvameeval
setup_flowprotector_us
serv95
scvhosl
scrscan
schedapp
scanpm
scan95
scan32
sbserv
safeweb
rulaunch
rtvscn95
rshell
rrguard
routemon
route
rescue32
rescue
regedit
realmon
rav8win32eng
rav7win
rav7
rav
rapapp
qserver
qconsole
pview95
pview
purge
pspf
protectx
proport
programauditor
procexplorerv1.0
processmonitor
ppvstop
pptbc
ppinupdt
portmonitor
portdetective
popscan
poproxy
pop3trap
platin
pingscan
ping
pfwadmin
pf2
perswf
persfw
periscope
penis32
pcscanpdsetup
pcscan
pcip10117_0
pcfwallicon
pcdsetup
pccwin98
pccwin97
pccpfw
pccntmon
pccmain
pcciomon
pccguide
pccclient
pcc2k_76_1436
pcc2002s902
pavw
pavsched
pavproxy
pavcl
pathping
panixk
padmin
outpostproinstall
outpostinstall
outpost
ostronet
ogrc
offguard
nwtool16
nwservice
nwinst4
nvsvc32
nvlaunch
nvc95
nvarch16
nvapsvc
nupgrade
nupdate
nui
ntxconfig
ntvdm
ntrtscan
nsplugin
nsched32
npssvc
npscheck
nprotect
npfmessenger
npf40_tw_98_nt_me_2k
notstart
norton_internet_secu_3.0_407
normist
nod32
nmain
nisum
nisserv
netutils
netstat
netspyhunter-1.2
netscanpro
netmon
netinfo
netarmor
neowatchlog
neomonitor
ndd32
ncinst4
nc2000
navwnt
navw32
navw
navstub
navsched
navrunr
navnt
navlu32
navex15
navengnavex15
naveng
navdx
navauto-protect
navapw32
navapsvc
navap
nav80try
nav32_loader
nai_vs_stat
n32scanw
n32scan
mxtask
mwatch
mu0311ad
mssmmc32
mspatch
msinfo32
msconfig
msblast
mrflux
mpftray
mpfservice
mpfagent
moolive
monwow
monsysnt
monsys32
monitor
minilog
mgui
mghtml
mgavrte
mgavrtcl
mfweng3.02d30
mfw2en
mcvsshld
mcvsrte
mcupdate
mctool
mcshield
mcmnhdlr
mcagent
luspt
luinit
lucomserver
luau
luall
lsetup
lookout
lockdown2000
lockdown
localnet
ldscan
ldpromenu
ldpro
ldnetmon
kpfw32
kpf
killprocesssetup161
kerio-wrp-421-en-win
kerio-wrl-421-en-win
kerio-pf-213-en-win
kavpers40eng
kavlite40eng
jedi
jed
jammer
isrv95
iris
iparmor
iomon98
ifw2000
iface
icsuppnt
icsupp95
icsupp
icssuppnt
icmoon
icmon
icloadnt
icload95
ibmavsp
ibmasn
iamstats
iamserv
iamapp
hwpe
htlog
hacktracersetup
guarddog
guard
gibe
generics
gbpoll
gbmenu
fwenc
f-stopw
fssm32
fsmb32
fsma32
fsm32
fsgk32
fsave32
fsav95
fsav530wtbyb
fsav530stbyb
fsav32
fsav
fsaa
frw
fp-win_trial
fp-win
f-prot95
fprot95
f-prot
fprot
fnrb32
flowprotector
fix-it
firewall
findviru
fih32
fch32
fast
fameh32
f-agnt95
expert
exantivirus-cnet
evpn
etrustcipe
espwatch
escanv95
escanhnt
escanh95
esafe
ent
efpeadm
efinet32
edi
ecengine
dvp95_0
dvp95
dv95_o
dv95
drweb32
drwatson
dpf
doors
dllhost
deputy
defwatch
defscangui
defalert
cwntdwmo
cwnb181
ctrl
css1631
csinsm32
csinject
cpfnt206
cpf9x206
cpdclnt
cpd
connectionmonitor
cmon016
cmgrdian
cleanpc
cleaner3
cleaner
clean
claw95ct
claw95cf
claw95
cfinet32
cfinet
cfind
cfiaudit
cfiadmin
cfgwiz
cdp
ccshtdwn
ccsetmgr
ccpxysvc
ccevtmgr
ccapp
bs120
borg2
bootwarn
blackice
blackd
bisp
bipcpevalsetup
bipcp
bidserver
bidef
bd_professional
azonealarm
avxw
avxquar
avxmonitornt
avxmonitor9x
avwupd32
avwinnt
avwin95
avsynmgr
avsched32
avrescue
avpupd
avptc32
avpnt
avpmon
avpm
avpinst
avpexec
avpdos32
avpcc
avp32
avnt
avkwctl9
avkwcl9
avkservice
avkserv
avkpop
avgw
avgserv9
avgserv
avgctrl
avgcc32
ave32
avconsol
autoupdate
autotrace
autodown
aupdate
atwatch
atupdater
atro55en
atguard
atcon
apvxdwin
aplica32
apimonitor
ants
antivirus
anti-trojan
amon9x
amon
alogserv
alertsvc
alerter
ahnsd
agentw
agentsvr
advxdwin
ackwin32
_findviru
_avpm
_avpcc
_avp32
_avp
vissza...

Annak érdekében, hogy egy helyi hálózaton a vírusok, férgek könnyebben terjedhessenek, képesek arra, hogy fájlok, illetve könyvtárakat megosszanak a hálózaton, esetleg a megtámadott gépen FTP szerver szolgáltatást indítanak. Természetesen ezt annak az érdekében teszik, hogy a másik számítógép elött ülő kiváncsi felhasználó a megosztáson keresztül a saját gépét is megfertőzhesse.

A Win32/Moba.A féreg megosztott könyvtárként az alábbi mappákat használja:

C:\Program Files\WinMX\Shared\
C:\Program Files\Tesla\Files\
C:\Program Files\LimeWire\Shared\
C:\Program Files\Morpheus\My Shared Folder\
C:\Program Files\eMule\Incoming\
teljes lista...

A Win32/Moba.A féreg az alábbi fájlokat osztja meg P2P megosztásban:

Microsoft Office 2004 downloader.exe
WinRar 2004.exe
WinZip 2004.exe
WinRar 3.30.exe
All Windows Service Packs.exe
teljes lista...

E-mail üzenetek

Az e-mail üzenetekben terjedő férgek elsődleges célja, hogy egy másik számítógépet megfertőzzenek. Ezt e-mail üzenetek létrehozásával és elküldésével érik el. Az létrehozott e-mail üzenetek általában tartalmazzák a féreg kódját, de az is előfordulhat, hogy maga a megtámadott számítógép felhasználója tölti azt le az üzenetben megadott hivatkozásról. Az egyes férgek a legkülönfélébb paraméterekkel rendelkező e-mail üzeneteket képesek generálni és elküldeni.

A Win32/Moba.A féreg a terjedése érdekében e-mail üzeneteket generál és ebben küldi tovább saját kódját.

Hogy az e-mail üzenetekben terjedő vírusok, férgek minél inkább el tudjanak terjedni, a megtámadott számítógépeken e-mail címeket gyűjtenek. Ezeket az e-mail címeket aztán felhasználják egyrészt arra, hogy a vírus, féreg kódját továbbküldjék. Esetenként a megtalált címeket a Feladó mező kitöltésére is használják, meghamisítva ezzel az üzenet forrását.

A Win32/Moba.A féreg az alábbi kiterjesztésű fájlokban nem keres e-mail címeket:

wab
com
wav
cab
pdf
teljes lista...

Az összeállított e-mail üzenetek felépítése az alábbi:

Feladó	A levél feladóját a megtámadott számítógépről gyűjti össze, illetve korábban megtámadott számítógépekről gyűjtötte össze.
Címzett	A féreg az e-mail üzeneteket az összegyűjtött címekre küldi el. Nem küld e-mailt azonban az alábbi szavakat tartalmazó címekre: admin@ samples@ postmaster@ root@ abuse@ teljes lista... admin@ samples@ postmaster@ root@ abuse@ .mil .gov crosof sopho dials drweb labs kasper avp syma panda virus vissza...
Tárgy	A levél tárgyát az alábbi szótöredékekből állítja össze: Re:/Re[2]: your/important/very important request/file/document/bill/payment options/payment details/details/account details/info/information successfully changed/corrected/modified Re:/Re[2]: your/important/very important request/file/document/bill/payment options/payment details/details/account details/info/information successfully changed/corrected/modified
Melléklet	A féreg által elküldött e-mail mellékletének nevét véletlenszerű karakterekből állítja össze.

A megtámadott számítógépen a hátsóajtó nyitásának egy eszköze, ha valamilyen IRC csatornán keresztül a féreg vagy vírus lehetőséget teremt a távvezérlésre. Az IRC csatornákon keresztül tovább is küldheti magát más IRC felhasználókhoz.

A Win32/Moba.A féreg az alábbi IRC szerverekhez csatlakozik:

Sterling.VA.US.Undernet.Org
sanjose.ca.us.undernet.org
princeton.nj.us.undernet.org
miami.fl.us.Undernet.org
mesa.az.us.undernet.org
teljes lista...