Virus:Worm/Antiman.E
Date discovered:25/05/2005
Type:Worm
In the wild:No
Reported Infections:Low
Distribution Potential:Medium to high
Damage Potential:Low
Static file:Yes
File size:46.592 Bytes
MD5 checksum:33DBD7BF61241BCF7412D3A163D61E4F
VDF version:6.30.00.201

 General Methods of propagation:
   • Email
   • Peer to Peer


Aliases:
   •  Symantec: W32.Antiman.F@mm
   •  Kaspersky: Email-Worm.Win32.Antiman.e
   •  TrendMicro: WORM_ANTIMAN.E
   •  Bitdefender: Win32.Antiman.E@mm


Platforms / OS:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Side effects:
   • Registry modification

 Files It copies itself to the following locations:
   • %HOME%\Start Menu\Programs\Startup\rundll32.exe
   • %WINDIR%\services.exe
   • %WINDIR%\antimanele.scr



It deletes files that contain one of the following substring:
   • Liviu Guta
   • Liviu_Guta
   • Nicolae Guta
   • Nicolae_Guta
   • Copilul de aur
   • Copilul_de_aur
   • adi de la valcea
   • adi_de_la_valcea
   • adi de vito
   • ady de vito
   • florin salam
   • florin_salam
   • adrian & camy
   • stana isbasa
   • adrian cm
   • adrian copilul minune
   • adrian_copilul_minune
   • alina si costi
   • copilul de aur
   • dani de la deva
   • gabi din buzau
   • gabi de la giulesti
   • liviu pustiu
   • guta jr
   • guta & sorina
   • printesa ionela
   • don genove
   • jean de la craiova
   • cristian gusatu
   • ovidiu mititelu
   • sorinel pustiu
   • lucian seres
   • mihaela minune
   • minodora
   • n. guta
   • n.guta
   • nico cu carbon
   • nico_cu_carbon
   • sile dorel
   • vali vijelie
   • carmen serban
   • petrica cercel
   • nicu paleru
   • cata boss
   • liviu_guta
   • stefan de la barbulesti
   • florin peste
   • liviu cu mirela
   • sorina & florinel
   • puiu codreanu
   • catalin de la buzau
   • daniel dinescu
   • relu pustiu
   • victor spaniolu
   • vali raicu
   • adi caval
   • carmen dobre
   • sorinel copilu de aur
   • adrian copilu
   • costi ionita
   • costel ciofu
   • dan salam
   • robert salam
   • dorel de la popesti
   • viorel de la constanta
   • cristi dules
   • danezu
   • ciro de luca
   • florin fermecatorul
   • marian pitesteanu
   • vasile armeanca
   • florin mitroi
   • daniel bambo
   • daniel ursu
   • fata morgana
   • catalin arabu
   • sa joace iubita
   • numai femei
   • inima ma doare
   • toti banii
   • seful greilor
   • sunt smecher
   • calinut
   • rodica olariu
   • tin la tine
   • pustoai
   • multe femei
   • viata mea
   • mosu piticu
   • ciprian de la pitesti
   • de trei ori femeie
   • nea kalu
   • nea calu
   • jumatatea mea
   • gashka
   • dr. bombay
   • fetita mea
   • belea
   • 600 sel
   • sa beau
   • as da zile
   • anii mei
   • dusmanii
   • minune cu bogdan
   • minune cu camy
   • minune cu elgi
   • lepa iasna
   • minune si oaca
   • of,
   • m-am imbatat
   • sufletul si inima
   • claudia & leonard
   • claudia cu play aj
   • fl. peste
   • play aj
   • of doamne
   • auzi gagic
   • cristian rizescu
   • cristina clona
   • demarco
   • doru calota
   • el tempo
   • de 3 ori
   • elgi
   • printesa mea
   • fantastick
   • morgana & fero
   • fraiere
   • cristina sarbu
   • gabi de la oradea
   • dezbraca-te
   • dan ciotoi
   • kallibra
   • inima mea
   • krishma
   • rukmini
   • seara fetelor
   • liviu mititelu
   • sa bem
   • mario din buzau
   • marius visinescu
   • soarta te va blestema
   • mary & tano
   • viorel din aparatori
   • nek -
   • nek cu demarco
   • mitica blondu
   • am bani
   • s. deac
   • jupan
   • valoarea mea
   • the maniack
   • triton -
   • vali cercel
   • paul fantezie
   • vica vijelie
   • viorel ciolan
   • adrian de vito
   • adrian minune
   • nicusor copilul
   • guta -
   • o mie de ani
   • nicusor guta
   • papu -
   • dan din bolintin
   • vali junioru
   • stana & paleru
   • vali vijalie
   • susanu
   • sorina -
   • ochii care plang
   • bruneto
   • brunet-o
   • smechero
   • smecher-o
   • sunt baiat
   • femeile mele
   • cristi clona
   • fa doamne
   • da doamne
   • dau un ban
   • joaca nevasta
   • manele
   • joaca fetele
   • inimioara mea
   • am femei
   • daniela & lenutu
   • as da zile de la mine
   • sunt seful vostru pana mor
   • chefdechef
   • chef de chef
   • plange sufletul
   • jumatate tu, jumatate eu
   • ce le-nnebuneste pe femei
   • sa cante manelele



The following files are created:

%system drive root%\m.txt This is a non malicious text file that contains information about the program itself.
%system drive root%\a.txt This is a non malicious text file that contains information about the program itself.
%system drive root%\b.txt This is a non malicious text file that contains information about the program itself.

 Registry The following registry keys are added in order to run the processes after reboot:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Services"=" %WINDIR%\services.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Services"=" %WINDIR%\services.exe"



The following registry keys are changed:

– [HKCU\Control Panel\Desktop]
   Old value:
   • "ScreenSaveTimeOut"=%user defined settings%
   New value:
   • "ScreenSaveTimeOut"="300"

– [HKCU\Control Panel\Desktop]
   Old value:
   • SCRNSAVE.EXE"=%user defined settings%
   New value:
   • "SCRNSAVE.EXE"="%WINDIR%\antimanele.scr"

 Email It contains an integrated SMTP engine in order to send emails. A direct connection with the destination server will be established. The characteristics are described in the following:


From:
The sender address is spoofed.
The sender of the email is one of the following:
   • %receiver's email address%
   • Marius@xnet.ro
   • Georgiana@fantasy.ro
   • office@bitdefenders.ro
   • antimanele@antimanele.go.ro
   • Alex@home.ro
   • roxette@yahoo.com
   • mikeoldfield@yahoo.com
   • pasareacolibri@yahoo.com
   • cccatch@yahoo.com
   • nicola@yahoo.com
   • enya@yahoo.com
   • deepforest@yahoo.com
   • beatles@yahoo.com
   • florin.chilian@yahoo.com
   • enigma@yahoo.com
   • yanni@yahoo.com
   • moderntalking@yahoo.com
   • romantic@yahoo.com
   • Alina@yahoo.com
   • Ramona@yahoo.com
   • Gaby@yahoo.com
   • Catalina@yahoo.com
   • Alex@yahoo.com
   • Georgiana
   • Alice
   • Bia
   • Ana
   • Emma
   • Ella


To:
– Email addresses found in specific files on the system.
– Email addresses gathered from Yahoo! Messenger


Email design:
 


Subject: Poza de la mare...
Body:
   • Ti-am trimis ultima poza de la mare. Asta e?
Attachment:
   • scan_picture_0001._JPG.exe
 


Subject: Antivirus
Body:
   • Asta e ultimul antivirus. Ar trebui sa rezolve toate problemele.
Attachment:
   • antivirus.exe
 


Subject: Sex in camin
Body:
   • Ioana, sex in grup in camin. Cred ca o stii si tu ;)
Attachment:
   • ioana_divx._AVI.exe
 


Subject: Faza cu camila
Body:
   • :)))))))
Attachment:
   • camila.exe
 


Subject: De ce mor mai repede curiosii...
Body:
   • Nu deschide acest mesaj! E numai pentru persoanele prea curioase!
Attachment:
   • curiosii.exe
 


Subject: Antimanele
Body:
   • Daca nu mai suportati manelele la servici, tramvai, taxi, metrou, etc., trimiteti acest mesaj la toti prietenii dvs. !
     Va multumesc (din suflet).
Attachment:
   • antimanele.exe
 


Subject: Votati astazi!
Body:
   • Credeti ca ar fi mai bine ca Romania sa-si retraga trupele din Irak anul acesta? Deschideti programul Vot, alegeti votul dvs. si vedeti rezultatele.
     Parerea dvs. conteaza!
Attachment:
   • vot%current date%.exe
 


Subject: Cu sau fara Manele ?
Body:
   • Credeti ca ar fi mai bine ca manelele sa fie interzise in Romania?
     Deschideti programul de votare, alegeti votul dvs. si vedeti rezultatele.
     Parerea dvs. conteaza!
Attachment:
   • vot_manele_%current date%.exe
 


Subject: Pentru Ionel
Body:
   • Scuza-ma ca nu ti-am mai scris de mult timp, dar am avut ceva probleme cu calculatorul
     Ti-am promis ultima data pe chat o poza cu mine dezbracata... m-am gandit mult la asta si cred ca pana la urma cel mai bine e sa-ti trimit o poza.
     Sper sa-ti placa. Daca nu o sa-mi mai scrii dupa mesajul asta, o sa te inteleg...
     Roxana,
Attachment:
   • poza_roxana._JPG.exe
 


Subject: Cum a murit Papa?
Body:
   • Film cu moartea papei. Toate drepturile rezervate. Este interzisa modificarea continutului. Poate fi redistribuit.
     Asociatia Catolicilor Anonimi din Romania.
Attachment:
   • film_papa._avi._divx_.exe
 


Subject: Delivery Status (Failure)
Body:
   • This is an automatically generated Delivery Status Notification.
     Delivery to last recipient failed.
     Email returned as attachment text file.
Attachment:
   • failed message.txt.scr
 


Subject: Poza cu tine pe net???
Body:
   • Salut,
     Am vazut poza asta cu tine pe un site. Chiar tu esti?
     Sau s-ar putea sa semene doar cu tine...
Attachment:
   • Scan_%current date%.scr
 


Subject: Dacia Logan varianta
Body:
   • Cum o sa arate varianta noua, de 3000 de Euro de la Dacia Logan?
Attachment:
   • Logan_screenshot._jpg.scr
 


Subject: Re: Poze
Body:
   • Am vazut deja pozele astea. Alea cu blonda sunt interesante...
     Altele mai noi nu ai?
Attachment:
   • Poze.zipped.exe

 Mailing Avoid addresses:
It does not send emails to addresses containing one of the following strings:
   • spam; abuse; master; sample; accoun; privacy; certific; bugs; submit;
      ntivi; support; admin; page; the.bat; gold-certs; ca; feste; not;
      help; foo; no; soft; site; me; you; rating; your; someone; anyone;
      nothing; nobody; noone; winrar; winzip; rarsoft; sf.net; sourceforge;
      ripe.; arin.; gnu.; seclist; secur; bar.; foo.com; trend; update;
      uslis; domain; example; sophos; spersk; panda; microsoft; sarc.; syma


MX Server:
It does not use the standard MX server.
It has the ability to contact one of the following MX servers:
   • 141.ro; alfa.texnet.ro; delrom.ro; fbsd.genesys.ro; from mail.lug.ro;
      jera.tvr.ro; mail-relay.eu.net; mail.apropo.ro; mail.arad.rdsnet.ro;
      mail.arhiepiscopiatomisului.ro; mail.bacau.rdsnet.ro;
      mail.brasov.rdsnet.ro; mail.bucovinet.ro; mail.cmb.ro;
      mail.constanta.rdsnet.ro; mail.craiova.rdsnet.ro; mail.dnttm.ro;
      mail.easynet.ro; mail.geostar.ro; mail.home.ro; mail.home.ro;
      mail.iasi.rdsnet.ro; mail.impromex.ro; mail.ingfiz.ro;
      mail.mailbox.ro; mail.mymail.ro; mail.pcnet.ro;
      mail.ploiesti.rdsnet.ro; mail.rdslink.ro; mail.rdsnet.ro;
      mail.remote.xnet.ro; mail.remote1.xnet.ro; mail.rol.ro;
      mail.satumare.rdsnet.ro; mail.timisoara.rdsnet.ro; mail.tinet.ro;
      mail.totalnet.ro; mail.xnet.ro; millennium.nolimits.ro;
      monster.totalnet.ro; mta3.rdslink.ro; mx.kappa.ro; mx.rdsnet.ro;
      mx1.mail.hotmail.com; mx1.mail.yahoo.com; mx1.pcnet.ro; mx1.pcnet.ro;
      mx2.kappa.ro; mx2.mail.hotmail.com; mx2.mail.yahoo.com;
      mx3.mail.hotmail.com; mx3.mail.yahoo.com; mx4.mail.hotmail.com;
      mx4.mail.yahoo.com; nemere-gw.planet.ro; ns.atlastelecom.ro;
      ns.fdsc.ro; ns.matco.ro; ns.oltenia.ro; overlord.ro; praf.work.ro;
      rack.elite.ro; relay-1.dntis.ro; relay.gtstelecom.ro;
      relay.logicnet.ro; relay.n0i.net; relay.totalnet.ro;
      relay1.romania.eu.net; s1.go.ro; scentra.dntcj.ro; smtp.as.ro;
      smtp.cegis.ro; smtp.dainet.ro; smtp.dialplus.ro; smtp.dnt.ro;
      smtp.fx.ro; smtp.home.ro; smtp.inel.ro; smtp.ines.ro; smtp.inext.ro;
      smtp.kushi.ro; smtp.planet.ro; smtp.xnet.ro; smtp.zappmobile.ro;
      smtp2.arnet.com.ar; tag.starnets.ro; terranet.ro; www.apropo.ro;
      zerg.astral.ro

 P2P In order to infect other systems in the Peer to Peer network community the following action is performed:  


   It searches for directories that contain one of the following substrings:
   • shar
   • dc++
   • kaza
   • kituri
   • kits
   • xxx
   • filme
   • de pe net
   • incoming
   • download
   • upload
   • downloaded
   • uploaded

   If successful, the following files are created:
   • Nicolae Guta - ultimul album (%current date%)._mp3.exe
   • Adrian Copilul Minune - ultimul album (%current date%)._zip.exe
   • Chef de chef - cele mai noi manele noi).exe
   • Manele Collection.exe
   • Utilitar de cautare manele noi pe net.exe
   • Manele - texte din toate manelele._txt.exe
   • Program pentru vazut filme incomplet copiate.exe
   • Program pentru ascultat melodii incomplet copiate.exe
   • Pamela Anderson (filmul complet, 19 minute).exe
   • Fetele de la Asia dezbracate.avii.exe
   • Carmen la 16 ani - best blowjob sex xxx._avi_divx_.scr
   • Porno la scoala._avi_divx_.scr


 Miscellaneous Mutex:
It creates the following Mutex:
   • antimanele

 File details Programming language:
 The malware program was written in Delphi.
In order to aggravate detection and reduce size of the file it is packed with the following runtime packer:
   • ASPack

Description inserted by Andrei Gherman on Friday, October 14, 2005
Description updated by Andrei Gherman on Friday, October 14, 2005

Back . . . .