Description complète

Nom:	Worm/Antiman.E
La date de la découverte:	25/05/2005
Type:	Ver
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Moyen à élevé
Potentiel de destruction:	Faible
Fichier statique:	Oui
Taille du fichier:	46.592 Octets
Somme de contrôle MD5:	33DBD7BF61241BCF7412D3A163D61E4F
Version VDF:	6.30.00.201

Général Méthodes de propagation:
   • Email
   • Peer to Peer

Les alias:
   • Symantec: W32.Antiman.F@mm
   • Kaspersky: Email-Worm.Win32.Antiman.e
   • TrendMicro: WORM_ANTIMAN.E
   • Bitdefender: Win32.Antiman.E@mm

Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il modifie des registres

Fichiers Il s'autocopie dans les emplacements suivants:
   • %HOME%\Start Menu\Programs\Startup\rundll32.exe
   • %WINDIR%\services.exe
   • %WINDIR%\antimanele.scr

Il supprime les fichiers qui contient une des chaînes de caractères suivantes:
   • Liviu Guta
   • Liviu_Guta
   • Nicolae Guta
   • Nicolae_Guta
   • Copilul de aur
   • Copilul_de_aur
   • adi de la valcea
   • adi_de_la_valcea
   • adi de vito
   • ady de vito
   • florin salam
   • florin_salam
   • adrian & camy
   • stana isbasa
   • adrian cm
   • adrian copilul minune
   • adrian_copilul_minune
   • alina si costi
   • copilul de aur
   • dani de la deva
   • gabi din buzau
   • gabi de la giulesti
   • liviu pustiu
   • guta jr
   • guta & sorina
   • printesa ionela
   • don genove
   • jean de la craiova
   • cristian gusatu
   • ovidiu mititelu
   • sorinel pustiu
   • lucian seres
   • mihaela minune
   • minodora
   • n. guta
   • n.guta
   • nico cu carbon
   • nico_cu_carbon
   • sile dorel
   • vali vijelie
   • carmen serban
   • petrica cercel
   • nicu paleru
   • cata boss
   • liviu_guta
   • stefan de la barbulesti
   • florin peste
   • liviu cu mirela
   • sorina & florinel
   • puiu codreanu
   • catalin de la buzau
   • daniel dinescu
   • relu pustiu
   • victor spaniolu
   • vali raicu
   • adi caval
   • carmen dobre
   • sorinel copilu de aur
   • adrian copilu
   • costi ionita
   • costel ciofu
   • dan salam
   • robert salam
   • dorel de la popesti
   • viorel de la constanta
   • cristi dules
   • danezu
   • ciro de luca
   • florin fermecatorul
   • marian pitesteanu
   • vasile armeanca
   • florin mitroi
   • daniel bambo
   • daniel ursu
   • fata morgana
   • catalin arabu
   • sa joace iubita
   • numai femei
   • inima ma doare
   • toti banii
   • seful greilor
   • sunt smecher
   • calinut
   • rodica olariu
   • tin la tine
   • pustoai
   • multe femei
   • viata mea
   • mosu piticu
   • ciprian de la pitesti
   • de trei ori femeie
   • nea kalu
   • nea calu
   • jumatatea mea
   • gashka
   • dr. bombay
   • fetita mea
   • belea
   • 600 sel
   • sa beau
   • as da zile
   • anii mei
   • dusmanii
   • minune cu bogdan
   • minune cu camy
   • minune cu elgi
   • lepa iasna
   • minune si oaca
   • of,
   • m-am imbatat
   • sufletul si inima
   • claudia & leonard
   • claudia cu play aj
   • fl. peste
   • play aj
   • of doamne
   • auzi gagic
   • cristian rizescu
   • cristina clona
   • demarco
   • doru calota
   • el tempo
   • de 3 ori
   • elgi
   • printesa mea
   • fantastick
   • morgana & fero
   • fraiere
   • cristina sarbu
   • gabi de la oradea
   • dezbraca-te
   • dan ciotoi
   • kallibra
   • inima mea
   • krishma
   • rukmini
   • seara fetelor
   • liviu mititelu
   • sa bem
   • mario din buzau
   • marius visinescu
   • soarta te va blestema
   • mary & tano
   • viorel din aparatori
   • nek -
   • nek cu demarco
   • mitica blondu
   • am bani
   • s. deac
   • jupan
   • valoarea mea
   • the maniack
   • triton -
   • vali cercel
   • paul fantezie
   • vica vijelie
   • viorel ciolan
   • adrian de vito
   • adrian minune
   • nicusor copilul
   • guta -
   • o mie de ani
   • nicusor guta
   • papu -
   • dan din bolintin
   • vali junioru
   • stana & paleru
   • vali vijalie
   • susanu
   • sorina -
   • ochii care plang
   • bruneto
   • brunet-o
   • smechero
   • smecher-o
   • sunt baiat
   • femeile mele
   • cristi clona
   • fa doamne
   • da doamne
   • dau un ban
   • joaca nevasta
   • manele
   • joaca fetele
   • inimioara mea
   • am femei
   • daniela & lenutu
   • as da zile de la mine
   • sunt seful vostru pana mor
   • chefdechef
   • chef de chef
   • plange sufletul
   • jumatate tu, jumatate eu
   • ce le-nnebuneste pe femei
   • sa cante manelele

Les fichiers suivants sont créés:

– %lecteur système racine%\m.txt Ceci est un fichier texte non malveillant qui contient d'information au sujet de soi-même.
– %lecteur système racine%\a.txt Ceci est un fichier texte non malveillant qui contient d'information au sujet de soi-même.
– %lecteur système racine%\b.txt Ceci est un fichier texte non malveillant qui contient d'information au sujet de soi-même.

Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Services"=" %WINDIR%\services.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Services"=" %WINDIR%\services.exe"

Les clés de registre suivantes sont changées:

– [HKCU\Control Panel\Desktop]
   L'ancienne valeur:
   • "ScreenSaveTimeOut"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "ScreenSaveTimeOut"="300"

– [HKCU\Control Panel\Desktop]
   L'ancienne valeur:
   • SCRNSAVE.EXE"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "SCRNSAVE.EXE"="%WINDIR%\antimanele.scr"

Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:

De:
L'adresse de l'expéditeur est falsifiée.
L'expéditeur de cet e-mail est un des ceux qui suivent:
   • %l'adresse email du destinataire%
   • Marius@xnet.ro
   • Georgiana@fantasy.ro
   • office@bitdefenders.ro
   • antimanele@antimanele.go.ro
   • Alex@home.ro
   • roxette@yahoo.com
   • mikeoldfield@yahoo.com
   • pasareacolibri@yahoo.com
   • cccatch@yahoo.com
   • nicola@yahoo.com
   • enya@yahoo.com
   • deepforest@yahoo.com
   • beatles@yahoo.com
   • florin.chilian@yahoo.com
   • enigma@yahoo.com
   • yanni@yahoo.com
   • moderntalking@yahoo.com
   • romantic@yahoo.com
   • Alina@yahoo.com
   • Ramona@yahoo.com
   • Gaby@yahoo.com
   • Catalina@yahoo.com
   • Alex@yahoo.com
   • Georgiana
   • Alice
   • Bia
   • Ana
   • Emma
   • Ella

A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du Yahoo! Messenger

Le format des emails:

Sujet: Poza de la mare...
Le corps:
   • Ti-am trimis ultima poza de la mare. Asta e?
L'attachement:
   • scan_picture_0001._JPG.exe

Sujet: Antivirus
Le corps:
   • Asta e ultimul antivirus. Ar trebui sa rezolve toate problemele.
L'attachement:
   • antivirus.exe

Sujet: Sex in camin
Le corps:
   • Ioana, sex in grup in camin. Cred ca o stii si tu ;)
L'attachement:
   • ioana_divx._AVI.exe

Sujet: Faza cu camila
Le corps:
   • :)))))))
L'attachement:
   • camila.exe

Sujet: De ce mor mai repede curiosii...
Le corps:
   • Nu deschide acest mesaj! E numai pentru persoanele prea curioase!
L'attachement:
   • curiosii.exe

Sujet: Antimanele
Le corps:
   • Daca nu mai suportati manelele la servici, tramvai, taxi, metrou, etc., trimiteti acest mesaj la toti prietenii dvs. !
     Va multumesc (din suflet).
L'attachement:
   • antimanele.exe

Sujet: Votati astazi!
Le corps:
   • Credeti ca ar fi mai bine ca Romania sa-si retraga trupele din Irak anul acesta? Deschideti programul Vot, alegeti votul dvs. si vedeti rezultatele.
     Parerea dvs. conteaza!
L'attachement:
   • vot%la date courante%.exe

Sujet: Cu sau fara Manele ?
Le corps:
   • Credeti ca ar fi mai bine ca manelele sa fie interzise in Romania?
     Deschideti programul de votare, alegeti votul dvs. si vedeti rezultatele.
     Parerea dvs. conteaza!
L'attachement:
   • vot_manele_%la date courante%.exe

Sujet: Pentru Ionel
Le corps:
   • Scuza-ma ca nu ti-am mai scris de mult timp, dar am avut ceva probleme cu calculatorul
     Ti-am promis ultima data pe chat o poza cu mine dezbracata... m-am gandit mult la asta si cred ca pana la urma cel mai bine e sa-ti trimit o poza.
     Sper sa-ti placa. Daca nu o sa-mi mai scrii dupa mesajul asta, o sa te inteleg...
     Roxana,
L'attachement:
   • poza_roxana._JPG.exe

Sujet: Cum a murit Papa?
Le corps:
   • Film cu moartea papei. Toate drepturile rezervate. Este interzisa modificarea continutului. Poate fi redistribuit.
     Asociatia Catolicilor Anonimi din Romania.
L'attachement:
   • film_papa._avi._divx_.exe

Sujet: Delivery Status (Failure)
Le corps:
   • This is an automatically generated Delivery Status Notification.
     Delivery to last recipient failed.
     Email returned as attachment text file.
L'attachement:
   • failed message.txt.scr

Sujet: Poza cu tine pe net???
Le corps:
   • Salut,
     Am vazut poza asta cu tine pe un site. Chiar tu esti?
     Sau s-ar putea sa semene doar cu tine...
L'attachement:
   • Scan_%la date courante%.scr

Sujet: Dacia Logan varianta
Le corps:
   • Cum o sa arate varianta noua, de 3000 de Euro de la Dacia Logan?
L'attachement:
   • Logan_screenshot._jpg.scr

Sujet: Re: Poze
Le corps:
   • Am vazut deja pozele astea. Alea cu blonda sunt interesante...
     Altele mai noi nu ai?
L'attachement:
   • Poze.zipped.exe

Envoie de messages Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • spam; abuse; master; sample; accoun; privacy; certific; bugs; submit;
      ntivi; support; admin; page; the.bat; gold-certs; ca; feste; not;
      help; foo; no; soft; site; me; you; rating; your; someone; anyone;
      nothing; nobody; noone; winrar; winzip; rarsoft; sf.net; sourceforge;
      ripe.; arin.; gnu.; seclist; secur; bar.; foo.com; trend; update;
      uslis; domain; example; sophos; spersk; panda; microsoft; sarc.; syma

Serveur MX:
Il n'emploi pas le serveur MX standard:
Il a la capacité de contacter un des serveurs MX suivants:
   • 141.ro; alfa.texnet.ro; delrom.ro; fbsd.genesys.ro; from mail.lug.ro;
      jera.tvr.ro; mail-relay.eu.net; mail.apropo.ro; mail.arad.rdsnet.ro;
      mail.arhiepiscopiatomisului.ro; mail.bacau.rdsnet.ro;
      mail.brasov.rdsnet.ro; mail.bucovinet.ro; mail.cmb.ro;
      mail.constanta.rdsnet.ro; mail.craiova.rdsnet.ro; mail.dnttm.ro;
      mail.easynet.ro; mail.geostar.ro; mail.home.ro; mail.home.ro;
      mail.iasi.rdsnet.ro; mail.impromex.ro; mail.ingfiz.ro;
      mail.mailbox.ro; mail.mymail.ro; mail.pcnet.ro;
      mail.ploiesti.rdsnet.ro; mail.rdslink.ro; mail.rdsnet.ro;
      mail.remote.xnet.ro; mail.remote1.xnet.ro; mail.rol.ro;
      mail.satumare.rdsnet.ro; mail.timisoara.rdsnet.ro; mail.tinet.ro;
      mail.totalnet.ro; mail.xnet.ro; millennium.nolimits.ro;
      monster.totalnet.ro; mta3.rdslink.ro; mx.kappa.ro; mx.rdsnet.ro;
      mx1.mail.hotmail.com; mx1.mail.yahoo.com; mx1.pcnet.ro; mx1.pcnet.ro;
      mx2.kappa.ro; mx2.mail.hotmail.com; mx2.mail.yahoo.com;
      mx3.mail.hotmail.com; mx3.mail.yahoo.com; mx4.mail.hotmail.com;
      mx4.mail.yahoo.com; nemere-gw.planet.ro; ns.atlastelecom.ro;
      ns.fdsc.ro; ns.matco.ro; ns.oltenia.ro; overlord.ro; praf.work.ro;
      rack.elite.ro; relay-1.dntis.ro; relay.gtstelecom.ro;
      relay.logicnet.ro; relay.n0i.net; relay.totalnet.ro;
      relay1.romania.eu.net; s1.go.ro; scentra.dntcj.ro; smtp.as.ro;
      smtp.cegis.ro; smtp.dainet.ro; smtp.dialplus.ro; smtp.dnt.ro;
      smtp.fx.ro; smtp.home.ro; smtp.inel.ro; smtp.ines.ro; smtp.inext.ro;
      smtp.kushi.ro; smtp.planet.ro; smtp.xnet.ro; smtp.zappmobile.ro;
      smtp2.arnet.com.ar; tag.starnets.ro; terranet.ro; www.apropo.ro;
      zerg.astral.ro

P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:

–   Il cherche les répertoires qui contient une des sous chaîne de caractères suivantes:
   • shar
   • dc++
   • kaza
   • kituri
   • kits
   • xxx
   • filme
   • de pe net
   • incoming
   • download
   • upload
   • downloaded
   • uploaded

   En cas de succès, les fichiers suivants sont créés:
   • Nicolae Guta - ultimul album (%la date courante%)._mp3.exe
   • Adrian Copilul Minune - ultimul album (%la date courante%)._zip.exe
   • Chef de chef - cele mai noi manele noi).exe
   • Manele Collection.exe
   • Utilitar de cautare manele noi pe net.exe
   • Manele - texte din toate manelele._txt.exe
   • Program pentru vazut filme incomplet copiate.exe
   • Program pentru ascultat melodii incomplet copiate.exe
   • Pamela Anderson (filmul complet, 19 minute).exe
   • Fetele de la Asia dezbracate.avii.exe
   • Carmen la 16 ani - best blowjob sex xxx._avi_divx_.scr
   • Porno la scoala._avi_divx_.scr

Informations divers Mutex:
Il crée le Mutex suivant:
• antimanele

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• ASPack

Description insérée par Andrei Gherman le vendredi 14 octobre 2005
Description mise à jour par Andrei Gherman le vendredi 14 octobre 2005

Retour . . . .

Protection avancée pour votre PC

Produits gratuits

Les plus populaires

Tous les produits

Offres groupées

Stations de travail

Server

Offres groupées

Mail Gateways

Web Gateways

Plateformes collaboratives

Particuliers

Entreprises

Virus Lab

Support avancé

Programme Avira Partner

Particuliers

Entreprises

Une simple évaluation vous suffit ?

Manuels et outils