Descrizione completa

Nome del virus:	Worm/Antiman.E
Scoperto:	25/05/2005
Tipo:	Worm
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio-Alto
Potenziale di danni:	Basso
File statico:	Si
Dimensione del file:	46.592 Byte
Somma di controllo MD5:	33DBD7BF61241BCF7412D3A163D61E4F
Versione VDF:	6.30.00.201

Generale Metodi di propagazione:
   • Email
   • Peer to Peer

Alias:
   • Symantec: W32.Antiman.F@mm
   • Kaspersky: Email-Worm.Win32.Antiman.e
   • TrendMicro: WORM_ANTIMAN.E
   • Bitdefender: Win32.Antiman.E@mm

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Modifica del registro

File Si copia alle seguenti posizioni:
   • %HOME%\Start Menu\Programs\Startup\rundll32.exe
   • %WINDIR%\services.exe
   • %WINDIR%\antimanele.scr

Cancella i file che contengono una delle seguenti sottostringhe:
   • Liviu Guta
   • Liviu_Guta
   • Nicolae Guta
   • Nicolae_Guta
   • Copilul de aur
   • Copilul_de_aur
   • adi de la valcea
   • adi_de_la_valcea
   • adi de vito
   • ady de vito
   • florin salam
   • florin_salam
   • adrian & camy
   • stana isbasa
   • adrian cm
   • adrian copilul minune
   • adrian_copilul_minune
   • alina si costi
   • copilul de aur
   • dani de la deva
   • gabi din buzau
   • gabi de la giulesti
   • liviu pustiu
   • guta jr
   • guta & sorina
   • printesa ionela
   • don genove
   • jean de la craiova
   • cristian gusatu
   • ovidiu mititelu
   • sorinel pustiu
   • lucian seres
   • mihaela minune
   • minodora
   • n. guta
   • n.guta
   • nico cu carbon
   • nico_cu_carbon
   • sile dorel
   • vali vijelie
   • carmen serban
   • petrica cercel
   • nicu paleru
   • cata boss
   • liviu_guta
   • stefan de la barbulesti
   • florin peste
   • liviu cu mirela
   • sorina & florinel
   • puiu codreanu
   • catalin de la buzau
   • daniel dinescu
   • relu pustiu
   • victor spaniolu
   • vali raicu
   • adi caval
   • carmen dobre
   • sorinel copilu de aur
   • adrian copilu
   • costi ionita
   • costel ciofu
   • dan salam
   • robert salam
   • dorel de la popesti
   • viorel de la constanta
   • cristi dules
   • danezu
   • ciro de luca
   • florin fermecatorul
   • marian pitesteanu
   • vasile armeanca
   • florin mitroi
   • daniel bambo
   • daniel ursu
   • fata morgana
   • catalin arabu
   • sa joace iubita
   • numai femei
   • inima ma doare
   • toti banii
   • seful greilor
   • sunt smecher
   • calinut
   • rodica olariu
   • tin la tine
   • pustoai
   • multe femei
   • viata mea
   • mosu piticu
   • ciprian de la pitesti
   • de trei ori femeie
   • nea kalu
   • nea calu
   • jumatatea mea
   • gashka
   • dr. bombay
   • fetita mea
   • belea
   • 600 sel
   • sa beau
   • as da zile
   • anii mei
   • dusmanii
   • minune cu bogdan
   • minune cu camy
   • minune cu elgi
   • lepa iasna
   • minune si oaca
   • of,
   • m-am imbatat
   • sufletul si inima
   • claudia & leonard
   • claudia cu play aj
   • fl. peste
   • play aj
   • of doamne
   • auzi gagic
   • cristian rizescu
   • cristina clona
   • demarco
   • doru calota
   • el tempo
   • de 3 ori
   • elgi
   • printesa mea
   • fantastick
   • morgana & fero
   • fraiere
   • cristina sarbu
   • gabi de la oradea
   • dezbraca-te
   • dan ciotoi
   • kallibra
   • inima mea
   • krishma
   • rukmini
   • seara fetelor
   • liviu mititelu
   • sa bem
   • mario din buzau
   • marius visinescu
   • soarta te va blestema
   • mary & tano
   • viorel din aparatori
   • nek -
   • nek cu demarco
   • mitica blondu
   • am bani
   • s. deac
   • jupan
   • valoarea mea
   • the maniack
   • triton -
   • vali cercel
   • paul fantezie
   • vica vijelie
   • viorel ciolan
   • adrian de vito
   • adrian minune
   • nicusor copilul
   • guta -
   • o mie de ani
   • nicusor guta
   • papu -
   • dan din bolintin
   • vali junioru
   • stana & paleru
   • vali vijalie
   • susanu
   • sorina -
   • ochii care plang
   • bruneto
   • brunet-o
   • smechero
   • smecher-o
   • sunt baiat
   • femeile mele
   • cristi clona
   • fa doamne
   • da doamne
   • dau un ban
   • joaca nevasta
   • manele
   • joaca fetele
   • inimioara mea
   • am femei
   • daniela & lenutu
   • as da zile de la mine
   • sunt seful vostru pana mor
   • chefdechef
   • chef de chef
   • plange sufletul
   • jumatate tu, jumatate eu
   • ce le-nnebuneste pe femei
   • sa cante manelele

Vengono creati i seguenti file:

– %root del drive di sistema%\m.txt Questo è un file di testo “non maligno” che contiene informazioni sul programma stesso.
– %root del drive di sistema%\a.txt Questo è un file di testo “non maligno” che contiene informazioni sul programma stesso.
– %root del drive di sistema%\b.txt Questo è un file di testo “non maligno” che contiene informazioni sul programma stesso.

Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Services"=" %WINDIR%\services.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Services"=" %WINDIR%\services.exe"

Vengono cambiate le seguenti chiavi di registro:

– [HKCU\Control Panel\Desktop]
   Valore precedente:
   • "ScreenSaveTimeOut"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "ScreenSaveTimeOut"="300"

– [HKCU\Control Panel\Desktop]
   Valore precedente:
   • SCRNSAVE.EXE"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "SCRNSAVE.EXE"="%WINDIR%\antimanele.scr"

Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:

Da:
L'indirizzo del mittente è falso.
Il mittente dell'email è uno dei seguenti:
   • %indirizzo email del ricevente%
   • Marius@xnet.ro
   • Georgiana@fantasy.ro
   • office@bitdefenders.ro
   • antimanele@antimanele.go.ro
   • Alex@home.ro
   • roxette@yahoo.com
   • mikeoldfield@yahoo.com
   • pasareacolibri@yahoo.com
   • cccatch@yahoo.com
   • nicola@yahoo.com
   • enya@yahoo.com
   • deepforest@yahoo.com
   • beatles@yahoo.com
   • florin.chilian@yahoo.com
   • enigma@yahoo.com
   • yanni@yahoo.com
   • moderntalking@yahoo.com
   • romantic@yahoo.com
   • Alina@yahoo.com
   • Ramona@yahoo.com
   • Gaby@yahoo.com
   • Catalina@yahoo.com
   • Alex@yahoo.com
   • Georgiana
   • Alice
   • Bia
   • Ana
   • Emma
   • Ella

A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da Yahoo! Messenger

Design delle email:

Oggetto: Poza de la mare...
Corpo della mail:
   • Ti-am trimis ultima poza de la mare. Asta e?
Allegato:
   • scan_picture_0001._JPG.exe

Oggetto: Antivirus
Corpo della mail:
   • Asta e ultimul antivirus. Ar trebui sa rezolve toate problemele.
Allegato:
   • antivirus.exe

Oggetto: Sex in camin
Corpo della mail:
   • Ioana, sex in grup in camin. Cred ca o stii si tu ;)
Allegato:
   • ioana_divx._AVI.exe

Oggetto: Faza cu camila
Corpo della mail:
   • :)))))))
Allegato:
   • camila.exe

Oggetto: De ce mor mai repede curiosii...
Corpo della mail:
   • Nu deschide acest mesaj! E numai pentru persoanele prea curioase!
Allegato:
   • curiosii.exe

Oggetto: Antimanele
Corpo della mail:
   • Daca nu mai suportati manelele la servici, tramvai, taxi, metrou, etc., trimiteti acest mesaj la toti prietenii dvs. !
     Va multumesc (din suflet).
Allegato:
   • antimanele.exe

Oggetto: Votati astazi!
Corpo della mail:
   • Credeti ca ar fi mai bine ca Romania sa-si retraga trupele din Irak anul acesta? Deschideti programul Vot, alegeti votul dvs. si vedeti rezultatele.
     Parerea dvs. conteaza!
Allegato:
   • vot%data corrente%.exe

Oggetto: Cu sau fara Manele ?
Corpo della mail:
   • Credeti ca ar fi mai bine ca manelele sa fie interzise in Romania?
     Deschideti programul de votare, alegeti votul dvs. si vedeti rezultatele.
     Parerea dvs. conteaza!
Allegato:
   • vot_manele_%data corrente%.exe

Oggetto: Pentru Ionel
Corpo della mail:
   • Scuza-ma ca nu ti-am mai scris de mult timp, dar am avut ceva probleme cu calculatorul
     Ti-am promis ultima data pe chat o poza cu mine dezbracata... m-am gandit mult la asta si cred ca pana la urma cel mai bine e sa-ti trimit o poza.
     Sper sa-ti placa. Daca nu o sa-mi mai scrii dupa mesajul asta, o sa te inteleg...
     Roxana,
Allegato:
   • poza_roxana._JPG.exe

Oggetto: Cum a murit Papa?
Corpo della mail:
   • Film cu moartea papei. Toate drepturile rezervate. Este interzisa modificarea continutului. Poate fi redistribuit.
     Asociatia Catolicilor Anonimi din Romania.
Allegato:
   • film_papa._avi._divx_.exe

Oggetto: Delivery Status (Failure)
Corpo della mail:
   • This is an automatically generated Delivery Status Notification.
     Delivery to last recipient failed.
     Email returned as attachment text file.
Allegato:
   • failed message.txt.scr

Oggetto: Poza cu tine pe net???
Corpo della mail:
   • Salut,
     Am vazut poza asta cu tine pe un site. Chiar tu esti?
     Sau s-ar putea sa semene doar cu tine...
Allegato:
   • Scan_%data corrente%.scr

Oggetto: Dacia Logan varianta
Corpo della mail:
   • Cum o sa arate varianta noua, de 3000 de Euro de la Dacia Logan?
Allegato:
   • Logan_screenshot._jpg.scr

Oggetto: Re: Poze
Corpo della mail:
   • Am vazut deja pozele astea. Alea cu blonda sunt interesante...
     Altele mai noi nu ai?
Allegato:
   • Poze.zipped.exe

Invio di messaggi Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • spam; abuse; master; sample; accoun; privacy; certific; bugs; submit;
      ntivi; support; admin; page; the.bat; gold-certs; ca; feste; not;
      help; foo; no; soft; site; me; you; rating; your; someone; anyone;
      nothing; nobody; noone; winrar; winzip; rarsoft; sf.net; sourceforge;
      ripe.; arin.; gnu.; seclist; secur; bar.; foo.com; trend; update;
      uslis; domain; example; sophos; spersk; panda; microsoft; sarc.; syma

Server MX:
Non utilizza il server MX standard.
Ha la capacità di contattare uno dei seguenti server MX:
   • 141.ro; alfa.texnet.ro; delrom.ro; fbsd.genesys.ro; from mail.lug.ro;
      jera.tvr.ro; mail-relay.eu.net; mail.apropo.ro; mail.arad.rdsnet.ro;
      mail.arhiepiscopiatomisului.ro; mail.bacau.rdsnet.ro;
      mail.brasov.rdsnet.ro; mail.bucovinet.ro; mail.cmb.ro;
      mail.constanta.rdsnet.ro; mail.craiova.rdsnet.ro; mail.dnttm.ro;
      mail.easynet.ro; mail.geostar.ro; mail.home.ro; mail.home.ro;
      mail.iasi.rdsnet.ro; mail.impromex.ro; mail.ingfiz.ro;
      mail.mailbox.ro; mail.mymail.ro; mail.pcnet.ro;
      mail.ploiesti.rdsnet.ro; mail.rdslink.ro; mail.rdsnet.ro;
      mail.remote.xnet.ro; mail.remote1.xnet.ro; mail.rol.ro;
      mail.satumare.rdsnet.ro; mail.timisoara.rdsnet.ro; mail.tinet.ro;
      mail.totalnet.ro; mail.xnet.ro; millennium.nolimits.ro;
      monster.totalnet.ro; mta3.rdslink.ro; mx.kappa.ro; mx.rdsnet.ro;
      mx1.mail.hotmail.com; mx1.mail.yahoo.com; mx1.pcnet.ro; mx1.pcnet.ro;
      mx2.kappa.ro; mx2.mail.hotmail.com; mx2.mail.yahoo.com;
      mx3.mail.hotmail.com; mx3.mail.yahoo.com; mx4.mail.hotmail.com;
      mx4.mail.yahoo.com; nemere-gw.planet.ro; ns.atlastelecom.ro;
      ns.fdsc.ro; ns.matco.ro; ns.oltenia.ro; overlord.ro; praf.work.ro;
      rack.elite.ro; relay-1.dntis.ro; relay.gtstelecom.ro;
      relay.logicnet.ro; relay.n0i.net; relay.totalnet.ro;
      relay1.romania.eu.net; s1.go.ro; scentra.dntcj.ro; smtp.as.ro;
      smtp.cegis.ro; smtp.dainet.ro; smtp.dialplus.ro; smtp.dnt.ro;
      smtp.fx.ro; smtp.home.ro; smtp.inel.ro; smtp.ines.ro; smtp.inext.ro;
      smtp.kushi.ro; smtp.planet.ro; smtp.xnet.ro; smtp.zappmobile.ro;
      smtp2.arnet.com.ar; tag.starnets.ro; terranet.ro; www.apropo.ro;
      zerg.astral.ro

P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:

–   Cerca le directory che contengono una delle seguenti sottostringhe:
   • shar
   • dc++
   • kaza
   • kituri
   • kits
   • xxx
   • filme
   • de pe net
   • incoming
   • download
   • upload
   • downloaded
   • uploaded

   Se riuscito, i seguenti file vengono creati:
   • Nicolae Guta - ultimul album (%data corrente%)._mp3.exe
   • Adrian Copilul Minune - ultimul album (%data corrente%)._zip.exe
   • Chef de chef - cele mai noi manele noi).exe
   • Manele Collection.exe
   • Utilitar de cautare manele noi pe net.exe
   • Manele - texte din toate manelele._txt.exe
   • Program pentru vazut filme incomplet copiate.exe
   • Program pentru ascultat melodii incomplet copiate.exe
   • Pamela Anderson (filmul complet, 19 minute).exe
   • Fetele de la Asia dezbracate.avii.exe
   • Carmen la 16 ani - best blowjob sex xxx._avi_divx_.scr
   • Porno la scoala._avi_divx_.scr

Varie Mutex:
Crea il seguente Mutex:
• antimanele

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Delphi.
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• ASPack

Descrizione inserita da Andrei Gherman su venerdì 14 ottobre 2005
Descrizione aggiornata da Andrei Gherman su venerdì 14 ottobre 2005

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti