Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Minusia.A
Data em que surgiu:22/03/2006
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:De mdio a elevado
Nvel de risco:Baixo
Ficheiro esttico:No
Verso VDF:6.34.00.83

 Vulgarmente Meios de transmisso:
   • E-mail
   • Rede local


Alias:
   •  Symantec: W32.Renama.A@mm
   •  Kaspersky: Email-Worm.Win32.Minusi.a
   •  Sophos: W32/Minusia-A
   •  Bitdefender: Win32.Minusia.A


Sistemas Operativos:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software


Depois da execuo executa um aplicao que exibe a janela seguinte:





   If in victim machine, in %WINDIR%\ exists a file with the following name, muhammad_is_my_prophet.txt, the worm would not infect the machine.
   

 Ficheiros Autocopia-se para as seguintes localizaes
   • %SYSDIR%\svchost.exe
   • %WINDIR%\safemode.exe
   • %SYSDIR%\ERSvc.exe
   • %WINDIR%\mmsg\mcAfee.Update.exe.exe
   • %WINDIR%\Config\Easy.Windows.Monitoring.exe.exe
   • %WINDIR%\Config\system.update.exe.exe
   • %WINDIR%\mmsg\mmsg\mmsg.exe.exe
   • %raiz da unidade de sistema%\listname_of_terrorist.exe



So criados os seguintes ficheiros:

%WINDIR%\system_log.txt um ficheiro de texto no malicioso com o seguinte contedo:
   • MUHAMMAD ADALAH MANUSIA .............!!!!!!
     MUHAMMAD BUKAN MALAIKAT, DEWA, ATAU BAHKAN TUHAN...!!!!!
     TAPI DIA ADALAH PANUTAN SETIAP UMMAT MANUSIA, KARENA DIA ADALAH NABIULLAH..!!!
     KAMI MENGHORMATI MUHAMMAD SEBAGAI NABI DAN PEMIMPIN KARENA TINDAKANNYA YANG 99% BENAR
     BUKAN SEBAGAI DEWA, MALAIKAT ATAU BAHKAN TUHAN....!!!!
     SEBAGAIMANA KAMI MENGHORMATI NABI ISA DAN NABI-NABI LAIN
     KENAPA...????
     KARENA MEREKA ADALAH MANUSIA JUGA
     JADI MOHON JANGAN MENCARI-CARI KESALAHAN DAN KENISTAANNYA
     YANG MUHAMMAD BERISTRI BANYAKLAH, MENGEKANG WANITA-LAH DAN LAIN-LAIN
     PAKAILAH LOGIKA, NISCAYA AKAN DAPAT KEBENARANNYA
     .......................................................
     JADI, MOHON JANGAN HINA NABI-NABI KAMI...!!!
     KARENA MAREKA ADALAH NABI-NABI KALIAN JUGA..!!!!
     _________________________________________________________________________________________
     
     AKU AKAN BERHENTI JIKA ANDA MENYATAKAN SIAPA NABI KALIAN.....
     AKU AKAN BERHENTI JIKA ANDA MENYATAKAN SIAPA NABI KALIAN.....
     AKU AKAN BERHENTI JIKA ANDA MENYATAKAN SIAPA NABI KALIAN.....
     
     IF YOU DON'T UNDERSTAND, PLEASE TRANSLATE IN YOU LANGUAGE

%WINDIR%\Registry1.dll Este um ficheiro de texto no malicioso que contm informao sobre o prprio programa.
%WINDIR%\Registry1.dll Este um ficheiro de texto no malicioso que contm informao sobre o prprio programa.

 Registry (Registo do Windows) A chave seguinte adicionada (num loop infinito) ao registo, para executar os processos depois de reinicializar.

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "mcAfee.Instan.Update"="%WINDIR%\mmsg\mcAfee.Update.exe.exe"
   • "KasperskiLab"="%WINDIR%\Config\Easy.Windows.Monitoring.exe.exe"
   • "MsnMsgr"="%PROGRAM FILES%\MSN Messenger\MsnMsgr.Exe .exe
   • "MSMSGS"="%PROGRAM FILES%\Messenger\msmsgs.exe .exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "HotKeysCmds"="%WINDIR%\Config.system.update.exe.exe"



So adicionados os seguintes valores ao registo do Windows de forma a que os servios sejam carregados depois do computador ser reiniciado:

[HKLM\SYSTEM\ControlSet001\Services\srservice]
   • "Type"=dword:00000020
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=%SYSDIR%\svchost.exe
     "DisplayName"="System Restore Service"
     "DependOnService"=RpcSs
     "DependOnGroup"=%valores hex%
     "ObjectName"="LocalSystem"
     "Description"="Performs system restore functions. To stop service, turn off System Restore from the System Restore tab in My Computer->Properties"

[HKLM\SYSTEM\ControlSet001\Services\srservice\Parameters]
   • "ServiceDll"=%SYSDIR%\srsvc.dll

[HKLM\SYSTEM\ControlSet001\Services\srservice\Security]
   • "Security"=%valores hex%

[HKLM\SYSTEM\ControlSet001\Services\srservice\Enum]
   • "0"="Root\\LEGACY_SRSERVICE\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

[HKLM\SYSTEM\ControlSet001\Services\ERSvc]
   • "DependOnService"=RpcSs
     "Description"="Allows error reporting for services and applictions running in non-standard environments."
     "DisplayName"="Error Reporting Service"
     "ErrorControl"=dword:00000000
     "ImagePath"=%SYSDIR%\ERSvc.exe
     "ObjectName"="LocalSystem"
     "Start"=dword:00000002
     "Type"=dword:00000020

[HKLM\SYSTEM\ControlSet001\Services\ERSvc\Parameters]
   • %SystemRoot%\System32\ersvc.dll

[HKLM\SYSTEM\ControlSet001\Services\ERSvc\Security]
   • "Security"=%valores hex%

[HKLM\SYSTEM\ControlSet001\Services\ERSvc\Enum]
   • "0"="Root\\LEGACY_ERSVC\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



adicionada a seguinte chave de registo:

[HKCU\Identities\%CLSID%\Software\Microsoft\Outlook Express\
   5.0\Mail]
   • "Warn on Mapi Send"=dword:00000000



Altera as seguintes chaves de registo do Windows:

[HKCU\Software\Policies\Microsoft\Windows\System]
   Valor recente:
   • "DisableCMD"=dword:00000001

Home page do Internet Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor recente:
   • "DisableRegistryTools"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

 E-mail Utiliza o Messaging Application Programming Interface (MAPI) para enviar e-mails. As caractersticas so as seguintes:


Assunto:
Um dos seguintes:
   • %uma srie de caracteres aleatrios%,your name is listed in terrorism organisation..!!!
   • %uma srie de caracteres aleatrios%,this file from me,%uma srie de caracteres aleatrios%,
   • %uma srie de caracteres aleatrios%,Namamu termasuk dalam daftar terrorist..!!



Corpo:
–  Nalguns casos pode ter caracteres aleatrios.
O corpo do email um dos seguintes:

   • This attachment contain listname of terrorist..!!!
     hope you can be carrefull if you find one of them..!!!!
     or you can reply this email to me after you read the attachment
     thank's...!!!
     

   • jika anda nggak percaya atau kurang yakin, coba baca list attachment ini..!!!
     ini sangat urgent..!!!!
     saya harap dengan begini kita nggak ada salah paham
     thank's...!!!

   • if you are not sure, please read attachment bellow, and please reply to me..!!!
     this message is very urgent..!!!!
     hope we don't have miss understanding
     thank's...!!!


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • %uma srie de caracteres aleatrios%.zip
   • %uma srie de caracteres aleatrios%.exe
   • listname_of_terrorist.exe

O ficheiro de atalho uma cpia do malware.

O ficheiro de atalho contm uma cpia do prprio malware.

 Infeco da rede  Para assegurar a sua propagao o malware tenta ligar-se a outras mquinas como descrito abaixo.


Criao de endereos IP:
Cria endereos IP aleatrios enquanto mantm os primeiros dois octetos do seu prprio endereo. Depois tenta estabelecer uma ligao com os endereos criados.

 Terminar o processo A seguinte lista de processos so terminados:
   • cmd.exe; mmc.exe; msconfig.exe; MIRC.EXE; MIRC.exe; mirc.exe;
      EXCEL.EXE; EXCEL.exe; excel.exe; WINWORD.EXE; WINWORD.exe; winword.exe


 Detalhes do ficheiro Data de compilao:
Data: 28/02/2006
Hora: 13:51:45

Descrição enviada por Andrei Ivanes em quarta-feira, 22 de março de 2006
Descrição atualizada por Andrei Ivanes em sexta-feira, 21 de setembro de 2007

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.