Es un gusano que se propaga de forma masiva en los correos electrónicos que envía. Recoge direcciones de e-mail de los sistemas comprometidos.
Afecta a los sistemas operativos: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.
Cuando se ejecuta, este gusano se copia en: %System%\moonlight.scr
C:\Documents and Settings\[Usuario Actual]\Menu Inicio\Programas\Inicio\adodb.cmd
Nota:
1)%System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
C:\Documents and Settings\[Usuario Actual]\Menu Inicio\Programas\Inicio\ directorio donde se guardan algunos virus para ejecutarse al inicio de Windows.
Se pueden crear los siguientes archivos: system.exe
winlogon.exe
smss.exe
lsass.exe0.cmd
5.exe
l.com
l.exe
adodb.cmd
[Números aleatorios].exe
[Números aleatorios].com
[Números aleatorios].scr
[Números y letras aleatorios].exe
[Números y letras aleatorios].com
[Números y letras aleatorios].scr
[Números y letras aleatorios].cmd
Foto [Usuario Actual].exe
Data [Usuario Actual].exe
Crea los archivos en cualquier carpeta con la siguiente lista de caracteres: share
upload
download
Nota: Se copia a sí mismo en los directorios 'upload' o 'share', pudiendo propagarse vía P2P (redes de compartición de archivos).
Crea los archivos de texto: C:\WINDOWS\system32\crtsys.dll
C:\WINDOWS\MoonLight.txt
Puede crear archivos ocultos con nombres aleatorios en los siguientes directorios: %Windir%
%System%
Alguna subcarpeta de %UserProfile%
Nota: 1) %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).
2) %UserProfile% es una variable que hace referencia al directorio del perfil del usuario actual.
Por defecto es C:\Documents and Settings\[- usuario_actual -] (Windows NT/2000/XP).
Se copia a sí mismo en los anteriores archivos y puede también renombrarse después de la subcarpeta en la cual se ha instalado. Por ejemplo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
\Image File Execution Options\msconfig.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
\Image File Execution Options\regedit.exe
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\titta
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\titta\version
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\untukmu2
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\untukmu2\version
Modifica los valores indicados en las siguientes sub-claves del registro:
Nota: Los cambios del registro referenciados a msconfig.exe o regedit.exe hacen imposible abrir msconfig.exe o regedit.exe. Cuando el usuario intenta arrancar el archivo, se abre con el notepad.
Clave: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
Valor: "AlternateShell" = "[Números aleatorios].exe"
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\
\CurrentVersion\Policies\System
Valor: "DisableRegistryTools" = "1"
Clave: HKEY_CURRENT_USER\Software\VB and VBA Program Settings\titta\version
Clave: HKEY_CURRENT_USER\Software\VB and VBA Program Settings\untukmu2\version
Valor: "me" = "4"
Elimina algunas subclaves del registro con los siguientes caracteres:
Monitoriza procesos activos y sus parámetros, y termina algunos procesos con nombre o parámetro CMD.
Abre conexiones HTTP con las siguientes URLs, para conseguir un 'Ataque de Denegación de Servicio':
www.vaksin.com
www.bsi.ac.id
www.bp.com
Busca archivos en el ordenador comprometido y reune direcciones de correo electrónico. Evita enviarse a direcciones de e-mail con alguna de las siguientes cadenas de caracteres:
Friendster
yahoo
gmail
login
bank
hotmail
Utiliza su propio motor SMTP para enviarse a las direcciones recopiladas, lo que le permite actuar con independencia de su cliente de correo instalado.
El email tiene las siguientes características:
Asunto (uno de los siguientes):
Tolong Aku..
Tolong
hey Indonesian porn
Agnes Monica pic's
Fucking With Me :D
please read again what i have written to you
Hot ...
miss Indonesian
Cek This
hello
Japannes Porn
Aku Mencari Wanita yang aku Cintai
dan cara menggunakan email mass
ini adalah cara terakhirku ,di lampiran ini terdapat
foto dan data Wanita tsb Thank's
NB:Mohon di teruskan kesahabat anda
aku mahasiswa BSI Margonda smt 4
yah aku sedang membutuhkan pekerjaan
Nana
Joe
CoolMan
oh ya aku tahu anda dr milis ilmu komputer
di lampiran ini terdapat curriculum vittae dan foto saya
Origen (Suplantado, uno de los siguientes):
Titta
Lanelitta
Ami
Riri
Fransisca
Claudia
Fransiska
Cicilia
sisilia
Hilda
Nadine
Ida
Julia
Vivi
Valentina
Linda
Rita
sasuke
Davis
Anata
Emily
HellSpawn
Lia
Fria
admin
SaZZA
Susi
Agnes
JuwitaNingrum
Natalia
telkom
astaga
boleh
PLASA
indo
warung
gaul
El mensaje tiene un anexo ejecutable o comprimido .zip de nombre 'MYpIC.zip' que contiene al gusano.
Podría monitorizar las pulsaciones del teclado.
Puede intentar descargar y ejecutar los siguientes archivos adicionales de una localización remota:
update5.txt
zipfile2.txt
payload.txt
Intenta copiarse a sí mismo a la unidad "A:\"
Puede mostrar la imagen descolorida de la cara de una chica a las 10:00 a.m. y 10:00 p.m.
NOD32 peru distribuidor de NOD32 en peru tienda NOD32 comprar NOD32 venta de NOD32 NOD32 corporativo avast peru distribuidor de avast en peru tienda avast comprar avast venta de avast avast corporativo antivirus virus eliminacion de virus antivirus gratis antivirus free download antivirus antivirus peru recuperacion de data disco dañado recuperacion de archivos recuperacion de passwords o contraseñas seguridad informatica
NOD32 es marca registrada de ESET, avast! es marca registrada de ALWIL Software. Microsoft y Windows son marcas registradas de Microsoft Corporation. Todas las otras marcas y productos son marcas registradas de sus respectivos propietarios.
242-5751 
soporte@pcokey.com 
