Name:Worm/Minusia.A
Entdeckt am:22/03/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Niedrig
Statische Datei:Nein
VDF Version:6.34.00.83

 Allgemein Verbreitungsmethoden:
   • Email
   • Lokales Netzwerk


Aliases:
   •  Symantec: W32.Renama.A@mm
   •  Kaspersky: Email-Worm.Win32.Minusi.a
   •  Sophos: W32/Minusia-A
   •  Bitdefender: Win32.Minusia.A


Betriebsysteme:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen


Nach Aktivierung wird ein Windows Programm gestartet welches folgendes Fenster anzeigt:





   If in victim machine, in %WINDIR%\ exists a file with the following name, muhammad_is_my_prophet.txt, the worm would not infect the machine.
   

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\svchost.exe
   • %WINDIR%\safemode.exe
   • %SYSDIR%\ERSvc.exe
   • %WINDIR%\mmsg\mcAfee.Update.exe.exe
   • %WINDIR%\Config\Easy.Windows.Monitoring.exe.exe
   • %WINDIR%\Config\system.update.exe.exe
   • %WINDIR%\mmsg\mmsg\mmsg.exe.exe
   • %Wurzelverzeichnis des Systemlaufwerks%\listname_of_terrorist.exe



Es werden folgende Dateien erstellt:

%WINDIR%\system_log.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • MUHAMMAD ADALAH MANUSIA .............!!!!!!
     MUHAMMAD BUKAN MALAIKAT, DEWA, ATAU BAHKAN TUHAN...!!!!!
     TAPI DIA ADALAH PANUTAN SETIAP UMMAT MANUSIA, KARENA DIA ADALAH NABIULLAH..!!!
     KAMI MENGHORMATI MUHAMMAD SEBAGAI NABI DAN PEMIMPIN KARENA TINDAKANNYA YANG 99% BENAR
     BUKAN SEBAGAI DEWA, MALAIKAT ATAU BAHKAN TUHAN....!!!!
     SEBAGAIMANA KAMI MENGHORMATI NABI ISA DAN NABI-NABI LAIN
     KENAPA...????
     KARENA MEREKA ADALAH MANUSIA JUGA
     JADI MOHON JANGAN MENCARI-CARI KESALAHAN DAN KENISTAANNYA
     YANG MUHAMMAD BERISTRI BANYAKLAH, MENGEKANG WANITA-LAH DAN LAIN-LAIN
     PAKAILAH LOGIKA, NISCAYA AKAN DAPAT KEBENARANNYA
     .......................................................
     JADI, MOHON JANGAN HINA NABI-NABI KAMI...!!!
     KARENA MAREKA ADALAH NABI-NABI KALIAN JUGA..!!!!
     _________________________________________________________________________________________
     
     AKU AKAN BERHENTI JIKA ANDA MENYATAKAN SIAPA NABI KALIAN.....
     AKU AKAN BERHENTI JIKA ANDA MENYATAKAN SIAPA NABI KALIAN.....
     AKU AKAN BERHENTI JIKA ANDA MENYATAKAN SIAPA NABI KALIAN.....
     
     IF YOU DON'T UNDERSTAND, PLEASE TRANSLATE IN YOU LANGUAGE

%WINDIR%\Registry1.dll Dies ist eine nicht virulente Textdatei. Sie enthält Informationen über das Programm selbst.
%WINDIR%\Registry1.dll Dies ist eine nicht virulente Textdatei. Sie enthält Informationen über das Programm selbst.

 Registry Der folgendeRegistryschlüssel wird in einer Endlosschleife fortlaufen hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "mcAfee.Instan.Update"="%WINDIR%\mmsg\mcAfee.Update.exe.exe"
   • "KasperskiLab"="%WINDIR%\Config\Easy.Windows.Monitoring.exe.exe"
   • "MsnMsgr"="%PROGRAM FILES%\MSN Messenger\MsnMsgr.Exe .exe
   • "MSMSGS"="%PROGRAM FILES%\Messenger\msmsgs.exe .exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "HotKeysCmds"="%WINDIR%\Config.system.update.exe.exe"



Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\ControlSet001\Services\srservice]
   • "Type"=dword:00000020
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=%SYSDIR%\svchost.exe
     "DisplayName"="System Restore Service"
     "DependOnService"=RpcSs
     "DependOnGroup"=%Hex Werte%
     "ObjectName"="LocalSystem"
     "Description"="Performs system restore functions. To stop service, turn off System Restore from the System Restore tab in My Computer->Properties"

– [HKLM\SYSTEM\ControlSet001\Services\srservice\Parameters]
   • "ServiceDll"=%SYSDIR%\srsvc.dll

– [HKLM\SYSTEM\ControlSet001\Services\srservice\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\ControlSet001\Services\srservice\Enum]
   • "0"="Root\\LEGACY_SRSERVICE\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Services\ERSvc]
   • "DependOnService"=RpcSs
     "Description"="Allows error reporting for services and applictions running in non-standard environments."
     "DisplayName"="Error Reporting Service"
     "ErrorControl"=dword:00000000
     "ImagePath"=%SYSDIR%\ERSvc.exe
     "ObjectName"="LocalSystem"
     "Start"=dword:00000002
     "Type"=dword:00000020

– [HKLM\SYSTEM\ControlSet001\Services\ERSvc\Parameters]
   • %SystemRoot%\System32\ersvc.dll

– [HKLM\SYSTEM\ControlSet001\Services\ERSvc\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\ControlSet001\Services\ERSvc\Enum]
   • "0"="Root\\LEGACY_ERSVC\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Identities\%CLSID%\Software\Microsoft\Outlook Express\
   5.0\Mail]
   • "Warn on Mapi Send"=dword:00000000



Folgende Registryschlüssel werden geändert:

– [HKCU\Software\Policies\Microsoft\Windows\System]
   Neuer Wert:
   • "DisableCMD"=dword:00000001

Deaktivieren von Regedit und Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Neuer Wert:
   • "DisableRegistryTools"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

 Email Die Malware nutzt Messaging Application Programming Interface (MAPI) um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Betreff:
Eine der folgenden:
   • %zufällige Buchstabenkombination%,your name is listed in terrorism organisation..!!!
   • %zufällige Buchstabenkombination%,this file from me,%zufällige Buchstabenkombination%,
   • %zufällige Buchstabenkombination%,Namamu termasuk dalam daftar terrorist..!!



Body:
–  Kann unter Umständen zufällige Daten beinhalten.
Der Body der Email ist einer der folgenden:

   • This attachment contain listname of terrorist..!!!
     hope you can be carrefull if you find one of them..!!!!
     or you can reply this email to me after you read the attachment
     thank's...!!!
     

   • jika anda nggak percaya atau kurang yakin, coba baca list attachment ini..!!!
     ini sangat urgent..!!!!
     saya harap dengan begini kita nggak ada salah paham
     thank's...!!!

   • if you are not sure, please read attachment bellow, and please reply to me..!!!
     this message is very urgent..!!!!
     hope we don't have miss understanding
     thank's...!!!


Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • %zufällige Buchstabenkombination%.zip
   • %zufällige Buchstabenkombination%.exe
   • listname_of_terrorist.exe

Der Dateianhang ist eine Kopie der Malware.

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.

 Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.


IP Adressen Erzeugung:
Es werden zufällige IP Adressen generiert wobei die ersten beiden Zahlen die der eigenen Addresse sind. Es wird dann versuche eine Verbindung mit diesen Adressen aufzubauen.

 Prozess Beendigung Liste der Prozesse die beendet werden:
   • cmd.exe; mmc.exe; msconfig.exe; MIRC.EXE; MIRC.exe; mirc.exe;
      EXCEL.EXE; EXCEL.exe; excel.exe; WINWORD.EXE; WINWORD.exe; winword.exe


 Datei Einzelheiten Kompilation datum:
Datum: 28/02/2006
Zeit: 13:51:45

Die Beschreibung wurde erstellt von Andrei Ivanes am Mittwoch, 22. März 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Freitag, 21. September 2007

zurück . . . .