PCの修理が必要ですか?
専門家に頼む
ウイルスWorm/Minusia.A
発見日:22/03/2006
タイプワーム
感染報告有りはい
感染報告
感染の可能性中~高
ダメージ・ポテンシャル
スタティック・ファイルいいえ
VDFファージョン:6.34.00.83

 一般情報 感染方法
   • Eメール
   • ローカル・ネットワーク


別名
   •  Symantec: W32.Renama.A@mm
   •  Kaspersky: Email-Worm.Win32.Minusi.a
   •  Sophos: W32/Minusia-A
   •  Bitdefender: Win32.Minusia.A


プラットフォーム/OS:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用
   • ファイルを作成します。
   • レジストリの改変。
   • ソフトの脆弱性を利用します。


実行後、それは以下のウインドウを表示するアプリケーションを開始します:





   If in victim machine, in %WINDIR%\ exists a file with the following name, muhammad_is_my_prophet.txt, the worm would not infect the machine.
   

 ファイル それ自体を以下の場所にコピーします。
   • %SYSDIR%\svchost.exe
   • %WINDIR%\safemode.exe
   • %SYSDIR%\ERSvc.exe
   • %WINDIR%\mmsg\mcAfee.Update.exe.exe
   • %WINDIR%\Config\Easy.Windows.Monitoring.exe.exe
   • %WINDIR%\Config\system.update.exe.exe
   • %WINDIR%\mmsg\mmsg\mmsg.exe.exe
   • %システム・ドライブ・ルート%\listname_of_terrorist.exe



以下のファイルが作成されます:

%WINDIR%\system_log.txt これは以下の内容を含む、悪意のないテキスト・ファイルです:
   • MUHAMMAD ADALAH MANUSIA .............!!!!!!
     MUHAMMAD BUKAN MALAIKAT, DEWA, ATAU BAHKAN TUHAN...!!!!!
     TAPI DIA ADALAH PANUTAN SETIAP UMMAT MANUSIA, KARENA DIA ADALAH NABIULLAH..!!!
     KAMI MENGHORMATI MUHAMMAD SEBAGAI NABI DAN PEMIMPIN KARENA TINDAKANNYA YANG 99% BENAR
     BUKAN SEBAGAI DEWA, MALAIKAT ATAU BAHKAN TUHAN....!!!!
     SEBAGAIMANA KAMI MENGHORMATI NABI ISA DAN NABI-NABI LAIN
     KENAPA...????
     KARENA MEREKA ADALAH MANUSIA JUGA
     JADI MOHON JANGAN MENCARI-CARI KESALAHAN DAN KENISTAANNYA
     YANG MUHAMMAD BERISTRI BANYAKLAH, MENGEKANG WANITA-LAH DAN LAIN-LAIN
     PAKAILAH LOGIKA, NISCAYA AKAN DAPAT KEBENARANNYA
     .......................................................
     JADI, MOHON JANGAN HINA NABI-NABI KAMI...!!!
     KARENA MAREKA ADALAH NABI-NABI KALIAN JUGA..!!!!
     _________________________________________________________________________________________
     
     AKU AKAN BERHENTI JIKA ANDA MENYATAKAN SIAPA NABI KALIAN.....
     AKU AKAN BERHENTI JIKA ANDA MENYATAKAN SIAPA NABI KALIAN.....
     AKU AKAN BERHENTI JIKA ANDA MENYATAKAN SIAPA NABI KALIAN.....
     
     IF YOU DON'T UNDERSTAND, PLEASE TRANSLATE IN YOU LANGUAGE

%WINDIR%\Registry1.dll これはプログラム自体の内容を含む、悪意のないテキスト・ファイルです:
%WINDIR%\Registry1.dll これはプログラム自体の内容を含む、悪意のないテキスト・ファイルです:

 レジストリ 以下のレジストリ・キーが、再起動後そのプロセスを実行するため、無限ループの中に持続的に追加されます:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "mcAfee.Instan.Update"="%WINDIR%\mmsg\mcAfee.Update.exe.exe"
   • "KasperskiLab"="%WINDIR%\Config\Easy.Windows.Monitoring.exe.exe"
   • "MsnMsgr"="%PROGRAM FILES%\MSN Messenger\MsnMsgr.Exe .exe
   • "MSMSGS"="%PROGRAM FILES%\Messenger\msmsgs.exe .exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "HotKeysCmds"="%WINDIR%\Config.system.update.exe.exe"



以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:

– [HKLM\SYSTEM\ControlSet001\Services\srservice]
   • "Type"=dword:00000020
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=%SYSDIR%\svchost.exe
     "DisplayName"="System Restore Service"
     "DependOnService"=RpcSs
     "DependOnGroup"=%hex値%
     "ObjectName"="LocalSystem"
     "Description"="Performs system restore functions. To stop service, turn off System Restore from the System Restore tab in My Computer->Properties"

– [HKLM\SYSTEM\ControlSet001\Services\srservice\Parameters]
   • "ServiceDll"=%SYSDIR%\srsvc.dll

– [HKLM\SYSTEM\ControlSet001\Services\srservice\Security]
   • "Security"=%hex値%

– [HKLM\SYSTEM\ControlSet001\Services\srservice\Enum]
   • "0"="Root\\LEGACY_SRSERVICE\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Services\ERSvc]
   • "DependOnService"=RpcSs
     "Description"="Allows error reporting for services and applictions running in non-standard environments."
     "DisplayName"="Error Reporting Service"
     "ErrorControl"=dword:00000000
     "ImagePath"=%SYSDIR%\ERSvc.exe
     "ObjectName"="LocalSystem"
     "Start"=dword:00000002
     "Type"=dword:00000020

– [HKLM\SYSTEM\ControlSet001\Services\ERSvc\Parameters]
   • %SystemRoot%\System32\ersvc.dll

– [HKLM\SYSTEM\ControlSet001\Services\ERSvc\Security]
   • "Security"=%hex値%

– [HKLM\SYSTEM\ControlSet001\Services\ERSvc\Enum]
   • "0"="Root\\LEGACY_ERSVC\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



以下のレジストリ・キーが追加されます:

– [HKCU\Identities\%CLSID%\Software\Microsoft\Outlook Express\
   5.0\Mail]
   • "Warn on Mapi Send"=dword:00000000



以下のレジストリ・キーは変更されます:

– [HKCU\Software\Policies\Microsoft\Windows\System]
   新しい値
   • "DisableCMD"=dword:00000001

Regedit(レジストリ編集ツール)及びタスクマネージャを無効化します。
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   新しい値
   • "DisableRegistryTools"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

 Eメール MAPI(Messaging Application Programming Interface)を使ってメールを送ります。特徴は以下の通りです:


件名
以下のもの:
   • %ランダムな文字列%,your name is listed in terrorism organisation..!!!
   • %ランダムな文字列%,this file from me,%ランダムな文字列%,
   • %ランダムな文字列%,Namamu termasuk dalam daftar terrorist..!!



本文
–  本文はランダムな文字列を含むこともあります。
メールの本文は以下のうちのどれかです:

   • This attachment contain listname of terrorist..!!!
     hope you can be carrefull if you find one of them..!!!!
     or you can reply this email to me after you read the attachment
     thank's...!!!
     

   • jika anda nggak percaya atau kurang yakin, coba baca list attachment ini..!!!
     ini sangat urgent..!!!!
     saya harap dengan begini kita nggak ada salah paham
     thank's...!!!

   • if you are not sure, please read attachment bellow, and please reply to me..!!!
     this message is very urgent..!!!!
     hope we don't have miss understanding
     thank's...!!!


添付ファイル
添付ファイルの名前は:
   • %ランダムな文字列%.zip
   • %ランダムな文字列%.exe
   • listname_of_terrorist.exe

添付ファイルは、マルウェア自身のコピーです。

添付ファイルはそのマルウェアのコピーを含むアーカイブです。

 ネットワーク感染 感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。


IPアドレス作成
ランダムなIPアドレスを作りますが、その最初の2つの8ビットは同じままです。その後それらと接続しようとします。

 プロセス中断 以下のプロセスは終了されます:
   • cmd.exe; mmc.exe; msconfig.exe; MIRC.EXE; MIRC.exe; mirc.exe;
      EXCEL.EXE; EXCEL.exe; excel.exe; WINWORD.EXE; WINWORD.exe; winword.exe


 ファイルの詳細 コンパイルされた日付:
日付: 28/02/2006
時間: 13:51:45

説明の挿入者 Andrei Ivanes の 2006年3月22日水曜日
説明の更新者 Andrei Ivanes の 2007年9月21日金曜日

戻る . . . .
https:// このウィンドウは暗号化されています。