Name:Worm/Antiman.E
Entdeckt am:25/05/2005
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:46.592 Bytes
MD5 Prüfsumme:33DBD7BF61241BCF7412D3A163D61E4F
VDF Version:6.30.00.201

 Allgemein Verbreitungsmethoden:
   • Email
   • Peer to Peer


Aliases:
   •  Symantec: W32.Antiman.F@mm
   •  Kaspersky: Email-Worm.Win32.Antiman.e
   •  TrendMicro: WORM_ANTIMAN.E
   •  Bitdefender: Win32.Antiman.E@mm


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %HOME%\Start Menu\Programs\Startup\rundll32.exe
   • %WINDIR%\services.exe
   • %WINDIR%\antimanele.scr



Dateien welche eine der folgenden Zeichenketten enthalten werden gelöscht:
   • Liviu Guta
   • Liviu_Guta
   • Nicolae Guta
   • Nicolae_Guta
   • Copilul de aur
   • Copilul_de_aur
   • adi de la valcea
   • adi_de_la_valcea
   • adi de vito
   • ady de vito
   • florin salam
   • florin_salam
   • adrian & camy
   • stana isbasa
   • adrian cm
   • adrian copilul minune
   • adrian_copilul_minune
   • alina si costi
   • copilul de aur
   • dani de la deva
   • gabi din buzau
   • gabi de la giulesti
   • liviu pustiu
   • guta jr
   • guta & sorina
   • printesa ionela
   • don genove
   • jean de la craiova
   • cristian gusatu
   • ovidiu mititelu
   • sorinel pustiu
   • lucian seres
   • mihaela minune
   • minodora
   • n. guta
   • n.guta
   • nico cu carbon
   • nico_cu_carbon
   • sile dorel
   • vali vijelie
   • carmen serban
   • petrica cercel
   • nicu paleru
   • cata boss
   • liviu_guta
   • stefan de la barbulesti
   • florin peste
   • liviu cu mirela
   • sorina & florinel
   • puiu codreanu
   • catalin de la buzau
   • daniel dinescu
   • relu pustiu
   • victor spaniolu
   • vali raicu
   • adi caval
   • carmen dobre
   • sorinel copilu de aur
   • adrian copilu
   • costi ionita
   • costel ciofu
   • dan salam
   • robert salam
   • dorel de la popesti
   • viorel de la constanta
   • cristi dules
   • danezu
   • ciro de luca
   • florin fermecatorul
   • marian pitesteanu
   • vasile armeanca
   • florin mitroi
   • daniel bambo
   • daniel ursu
   • fata morgana
   • catalin arabu
   • sa joace iubita
   • numai femei
   • inima ma doare
   • toti banii
   • seful greilor
   • sunt smecher
   • calinut
   • rodica olariu
   • tin la tine
   • pustoai
   • multe femei
   • viata mea
   • mosu piticu
   • ciprian de la pitesti
   • de trei ori femeie
   • nea kalu
   • nea calu
   • jumatatea mea
   • gashka
   • dr. bombay
   • fetita mea
   • belea
   • 600 sel
   • sa beau
   • as da zile
   • anii mei
   • dusmanii
   • minune cu bogdan
   • minune cu camy
   • minune cu elgi
   • lepa iasna
   • minune si oaca
   • of,
   • m-am imbatat
   • sufletul si inima
   • claudia & leonard
   • claudia cu play aj
   • fl. peste
   • play aj
   • of doamne
   • auzi gagic
   • cristian rizescu
   • cristina clona
   • demarco
   • doru calota
   • el tempo
   • de 3 ori
   • elgi
   • printesa mea
   • fantastick
   • morgana & fero
   • fraiere
   • cristina sarbu
   • gabi de la oradea
   • dezbraca-te
   • dan ciotoi
   • kallibra
   • inima mea
   • krishma
   • rukmini
   • seara fetelor
   • liviu mititelu
   • sa bem
   • mario din buzau
   • marius visinescu
   • soarta te va blestema
   • mary & tano
   • viorel din aparatori
   • nek -
   • nek cu demarco
   • mitica blondu
   • am bani
   • s. deac
   • jupan
   • valoarea mea
   • the maniack
   • triton -
   • vali cercel
   • paul fantezie
   • vica vijelie
   • viorel ciolan
   • adrian de vito
   • adrian minune
   • nicusor copilul
   • guta -
   • o mie de ani
   • nicusor guta
   • papu -
   • dan din bolintin
   • vali junioru
   • stana & paleru
   • vali vijalie
   • susanu
   • sorina -
   • ochii care plang
   • bruneto
   • brunet-o
   • smechero
   • smecher-o
   • sunt baiat
   • femeile mele
   • cristi clona
   • fa doamne
   • da doamne
   • dau un ban
   • joaca nevasta
   • manele
   • joaca fetele
   • inimioara mea
   • am femei
   • daniela & lenutu
   • as da zile de la mine
   • sunt seful vostru pana mor
   • chefdechef
   • chef de chef
   • plange sufletul
   • jumatate tu, jumatate eu
   • ce le-nnebuneste pe femei
   • sa cante manelele



Es werden folgende Dateien erstellt:

%Wurzelverzeichnis des Systemlaufwerks%\m.txt Dies ist eine nicht virulente Textdatei. Sie enthält Informationen über das Programm selbst.
%Wurzelverzeichnis des Systemlaufwerks%\a.txt Dies ist eine nicht virulente Textdatei. Sie enthält Informationen über das Programm selbst.
%Wurzelverzeichnis des Systemlaufwerks%\b.txt Dies ist eine nicht virulente Textdatei. Sie enthält Informationen über das Programm selbst.

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Services"=" %WINDIR%\services.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Services"=" %WINDIR%\services.exe"



Folgende Registryschlüssel werden geändert:

– [HKCU\Control Panel\Desktop]
   Alter Wert:
   • "ScreenSaveTimeOut"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "ScreenSaveTimeOut"="300"

– [HKCU\Control Panel\Desktop]
   Alter Wert:
   • SCRNSAVE.EXE"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "SCRNSAVE.EXE"="%WINDIR%\antimanele.scr"

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.
Der Absender der Email ist einer der folgenden:
   • %Emailadresse des Empfängers%
   • Marius@xnet.ro
   • Georgiana@fantasy.ro
   • office@bitdefenders.ro
   • antimanele@antimanele.go.ro
   • Alex@home.ro
   • roxette@yahoo.com
   • mikeoldfield@yahoo.com
   • pasareacolibri@yahoo.com
   • cccatch@yahoo.com
   • nicola@yahoo.com
   • enya@yahoo.com
   • deepforest@yahoo.com
   • beatles@yahoo.com
   • florin.chilian@yahoo.com
   • enigma@yahoo.com
   • yanni@yahoo.com
   • moderntalking@yahoo.com
   • romantic@yahoo.com
   • Alina@yahoo.com
   • Ramona@yahoo.com
   • Gaby@yahoo.com
   • Catalina@yahoo.com
   • Alex@yahoo.com
   • Georgiana
   • Alice
   • Bia
   • Ana
   • Emma
   • Ella


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus Yahoo! Messenger


Design der Emails:
 


Betreff: Poza de la mare...
Body:
   • Ti-am trimis ultima poza de la mare. Asta e?
Dateianhang:
   • scan_picture_0001._JPG.exe
 


Betreff: Antivirus
Body:
   • Asta e ultimul antivirus. Ar trebui sa rezolve toate problemele.
Dateianhang:
   • antivirus.exe
 


Betreff: Sex in camin
Body:
   • Ioana, sex in grup in camin. Cred ca o stii si tu ;)
Dateianhang:
   • ioana_divx._AVI.exe
 


Betreff: Faza cu camila
Body:
   • :)))))))
Dateianhang:
   • camila.exe
 


Betreff: De ce mor mai repede curiosii...
Body:
   • Nu deschide acest mesaj! E numai pentru persoanele prea curioase!
Dateianhang:
   • curiosii.exe
 


Betreff: Antimanele
Body:
   • Daca nu mai suportati manelele la servici, tramvai, taxi, metrou, etc., trimiteti acest mesaj la toti prietenii dvs. !
     Va multumesc (din suflet).
Dateianhang:
   • antimanele.exe
 


Betreff: Votati astazi!
Body:
   • Credeti ca ar fi mai bine ca Romania sa-si retraga trupele din Irak anul acesta? Deschideti programul Vot, alegeti votul dvs. si vedeti rezultatele.
     Parerea dvs. conteaza!
Dateianhang:
   • vot%aktuelles Datum%.exe
 


Betreff: Cu sau fara Manele ?
Body:
   • Credeti ca ar fi mai bine ca manelele sa fie interzise in Romania?
     Deschideti programul de votare, alegeti votul dvs. si vedeti rezultatele.
     Parerea dvs. conteaza!
Dateianhang:
   • vot_manele_%aktuelles Datum%.exe
 


Betreff: Pentru Ionel
Body:
   • Scuza-ma ca nu ti-am mai scris de mult timp, dar am avut ceva probleme cu calculatorul
     Ti-am promis ultima data pe chat o poza cu mine dezbracata... m-am gandit mult la asta si cred ca pana la urma cel mai bine e sa-ti trimit o poza.
     Sper sa-ti placa. Daca nu o sa-mi mai scrii dupa mesajul asta, o sa te inteleg...
     Roxana,
Dateianhang:
   • poza_roxana._JPG.exe
 


Betreff: Cum a murit Papa?
Body:
   • Film cu moartea papei. Toate drepturile rezervate. Este interzisa modificarea continutului. Poate fi redistribuit.
     Asociatia Catolicilor Anonimi din Romania.
Dateianhang:
   • film_papa._avi._divx_.exe
 


Betreff: Delivery Status (Failure)
Body:
   • This is an automatically generated Delivery Status Notification.
     Delivery to last recipient failed.
     Email returned as attachment text file.
Dateianhang:
   • failed message.txt.scr
 


Betreff: Poza cu tine pe net???
Body:
   • Salut,
     Am vazut poza asta cu tine pe un site. Chiar tu esti?
     Sau s-ar putea sa semene doar cu tine...
Dateianhang:
   • Scan_%aktuelles Datum%.scr
 


Betreff: Dacia Logan varianta
Body:
   • Cum o sa arate varianta noua, de 3000 de Euro de la Dacia Logan?
Dateianhang:
   • Logan_screenshot._jpg.scr
 


Betreff: Re: Poze
Body:
   • Am vazut deja pozele astea. Alea cu blonda sunt interesante...
     Altele mai noi nu ai?
Dateianhang:
   • Poze.zipped.exe

 Versand Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • spam; abuse; master; sample; accoun; privacy; certific; bugs; submit;
      ntivi; support; admin; page; the.bat; gold-certs; ca; feste; not;
      help; foo; no; soft; site; me; you; rating; your; someone; anyone;
      nothing; nobody; noone; winrar; winzip; rarsoft; sf.net; sourceforge;
      ripe.; arin.; gnu.; seclist; secur; bar.; foo.com; trend; update;
      uslis; domain; example; sophos; spersk; panda; microsoft; sarc.; syma


MX Server:
Es verwendet nicht den Standard MX Server.
Es besitzt die Fähigkeit folgende MX Server zu kontaktieren:
   • 141.ro; alfa.texnet.ro; delrom.ro; fbsd.genesys.ro; from mail.lug.ro;
      jera.tvr.ro; mail-relay.eu.net; mail.apropo.ro; mail.arad.rdsnet.ro;
      mail.arhiepiscopiatomisului.ro; mail.bacau.rdsnet.ro;
      mail.brasov.rdsnet.ro; mail.bucovinet.ro; mail.cmb.ro;
      mail.constanta.rdsnet.ro; mail.craiova.rdsnet.ro; mail.dnttm.ro;
      mail.easynet.ro; mail.geostar.ro; mail.home.ro; mail.home.ro;
      mail.iasi.rdsnet.ro; mail.impromex.ro; mail.ingfiz.ro;
      mail.mailbox.ro; mail.mymail.ro; mail.pcnet.ro;
      mail.ploiesti.rdsnet.ro; mail.rdslink.ro; mail.rdsnet.ro;
      mail.remote.xnet.ro; mail.remote1.xnet.ro; mail.rol.ro;
      mail.satumare.rdsnet.ro; mail.timisoara.rdsnet.ro; mail.tinet.ro;
      mail.totalnet.ro; mail.xnet.ro; millennium.nolimits.ro;
      monster.totalnet.ro; mta3.rdslink.ro; mx.kappa.ro; mx.rdsnet.ro;
      mx1.mail.hotmail.com; mx1.mail.yahoo.com; mx1.pcnet.ro; mx1.pcnet.ro;
      mx2.kappa.ro; mx2.mail.hotmail.com; mx2.mail.yahoo.com;
      mx3.mail.hotmail.com; mx3.mail.yahoo.com; mx4.mail.hotmail.com;
      mx4.mail.yahoo.com; nemere-gw.planet.ro; ns.atlastelecom.ro;
      ns.fdsc.ro; ns.matco.ro; ns.oltenia.ro; overlord.ro; praf.work.ro;
      rack.elite.ro; relay-1.dntis.ro; relay.gtstelecom.ro;
      relay.logicnet.ro; relay.n0i.net; relay.totalnet.ro;
      relay1.romania.eu.net; s1.go.ro; scentra.dntcj.ro; smtp.as.ro;
      smtp.cegis.ro; smtp.dainet.ro; smtp.dialplus.ro; smtp.dnt.ro;
      smtp.fx.ro; smtp.home.ro; smtp.inel.ro; smtp.ines.ro; smtp.inext.ro;
      smtp.kushi.ro; smtp.planet.ro; smtp.xnet.ro; smtp.zappmobile.ro;
      smtp2.arnet.com.ar; tag.starnets.ro; terranet.ro; www.apropo.ro;
      zerg.astral.ro

 P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:  


   Es wird nach Verzeichnissen gesucht welche einer der folgenden Zeichenketten enthalten:
   • shar
   • dc++
   • kaza
   • kituri
   • kits
   • xxx
   • filme
   • de pe net
   • incoming
   • download
   • upload
   • downloaded
   • uploaded

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • Nicolae Guta - ultimul album (%aktuelles Datum%)._mp3.exe
   • Adrian Copilul Minune - ultimul album (%aktuelles Datum%)._zip.exe
   • Chef de chef - cele mai noi manele noi).exe
   • Manele Collection.exe
   • Utilitar de cautare manele noi pe net.exe
   • Manele - texte din toate manelele._txt.exe
   • Program pentru vazut filme incomplet copiate.exe
   • Program pentru ascultat melodii incomplet copiate.exe
   • Pamela Anderson (filmul complet, 19 minute).exe
   • Fetele de la Asia dezbracate.avii.exe
   • Carmen la 16 ani - best blowjob sex xxx._avi_divx_.scr
   • Porno la scoala._avi_divx_.scr


 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • antimanele

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • ASPack

Die Beschreibung wurde erstellt von Andrei Gherman am Freitag, 14. Oktober 2005
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 14. Oktober 2005

zurück . . . .