Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Minusia.A
Data em que surgiu:22/03/2006
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De médio a elevado
Nível de risco:Baixo
Ficheiro estático:Não
Versão VDF:6.34.00.83

 Vulgarmente Meios de transmissão:
   • E-mail
   • Rede local


Alias:
   •  Symantec: W32.Renama.A@mm
   •  Kaspersky: Email-Worm.Win32.Minusi.a
   •  Sophos: W32/Minusia-A
   •  Bitdefender: Win32.Minusia.A


Sistemas Operativos:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software


Depois da execução executa um aplicação que exibe a janela seguinte:





   If in victim machine, in %WINDIR%\ exists a file with the following name, muhammad_is_my_prophet.txt, the worm would not infect the machine.
   

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\svchost.exe
   • %WINDIR%\safemode.exe
   • %SYSDIR%\ERSvc.exe
   • %WINDIR%\mmsg\mcAfee.Update.exe.exe
   • %WINDIR%\Config\Easy.Windows.Monitoring.exe.exe
   • %WINDIR%\Config\system.update.exe.exe
   • %WINDIR%\mmsg\mmsg\mmsg.exe.exe
   • %raiz da unidade de sistema%\listname_of_terrorist.exe



São criados os seguintes ficheiros:

%WINDIR%\system_log.txt É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • MUHAMMAD ADALAH MANUSIA .............!!!!!!
     MUHAMMAD BUKAN MALAIKAT, DEWA, ATAU BAHKAN TUHAN...!!!!!
     TAPI DIA ADALAH PANUTAN SETIAP UMMAT MANUSIA, KARENA DIA ADALAH NABIULLAH..!!!
     KAMI MENGHORMATI MUHAMMAD SEBAGAI NABI DAN PEMIMPIN KARENA TINDAKANNYA YANG 99% BENAR
     BUKAN SEBAGAI DEWA, MALAIKAT ATAU BAHKAN TUHAN....!!!!
     SEBAGAIMANA KAMI MENGHORMATI NABI ISA DAN NABI-NABI LAIN
     KENAPA...????
     KARENA MEREKA ADALAH MANUSIA JUGA
     JADI MOHON JANGAN MENCARI-CARI KESALAHAN DAN KENISTAANNYA
     YANG MUHAMMAD BERISTRI BANYAKLAH, MENGEKANG WANITA-LAH DAN LAIN-LAIN
     PAKAILAH LOGIKA, NISCAYA AKAN DAPAT KEBENARANNYA
     .......................................................
     JADI, MOHON JANGAN HINA NABI-NABI KAMI...!!!
     KARENA MAREKA ADALAH NABI-NABI KALIAN JUGA..!!!!
     _________________________________________________________________________________________
     
     AKU AKAN BERHENTI JIKA ANDA MENYATAKAN SIAPA NABI KALIAN.....
     AKU AKAN BERHENTI JIKA ANDA MENYATAKAN SIAPA NABI KALIAN.....
     AKU AKAN BERHENTI JIKA ANDA MENYATAKAN SIAPA NABI KALIAN.....
     
     IF YOU DON'T UNDERSTAND, PLEASE TRANSLATE IN YOU LANGUAGE

%WINDIR%\Registry1.dll Este é um ficheiro de texto não malicioso que contém informação sobre o próprio programa.
%WINDIR%\Registry1.dll Este é um ficheiro de texto não malicioso que contém informação sobre o próprio programa.

 Registry (Registo do Windows) A chave seguinte é adicionada (num loop infinito) ao registo, para executar os processos depois de reinicializar.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "mcAfee.Instan.Update"="%WINDIR%\mmsg\mcAfee.Update.exe.exe"
   • "KasperskiLab"="%WINDIR%\Config\Easy.Windows.Monitoring.exe.exe"
   • "MsnMsgr"="%PROGRAM FILES%\MSN Messenger\MsnMsgr.Exe .exe
   • "MSMSGS"="%PROGRAM FILES%\Messenger\msmsgs.exe .exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "HotKeysCmds"="%WINDIR%\Config.system.update.exe.exe"



São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– [HKLM\SYSTEM\ControlSet001\Services\srservice]
   • "Type"=dword:00000020
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=%SYSDIR%\svchost.exe
     "DisplayName"="System Restore Service"
     "DependOnService"=RpcSs
     "DependOnGroup"=%valores hex%
     "ObjectName"="LocalSystem"
     "Description"="Performs system restore functions. To stop service, turn off System Restore from the System Restore tab in My Computer->Properties"

– [HKLM\SYSTEM\ControlSet001\Services\srservice\Parameters]
   • "ServiceDll"=%SYSDIR%\srsvc.dll

– [HKLM\SYSTEM\ControlSet001\Services\srservice\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\ControlSet001\Services\srservice\Enum]
   • "0"="Root\\LEGACY_SRSERVICE\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Services\ERSvc]
   • "DependOnService"=RpcSs
     "Description"="Allows error reporting for services and applictions running in non-standard environments."
     "DisplayName"="Error Reporting Service"
     "ErrorControl"=dword:00000000
     "ImagePath"=%SYSDIR%\ERSvc.exe
     "ObjectName"="LocalSystem"
     "Start"=dword:00000002
     "Type"=dword:00000020

– [HKLM\SYSTEM\ControlSet001\Services\ERSvc\Parameters]
   • %SystemRoot%\System32\ersvc.dll

– [HKLM\SYSTEM\ControlSet001\Services\ERSvc\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\ControlSet001\Services\ERSvc\Enum]
   • "0"="Root\\LEGACY_ERSVC\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



É adicionada a seguinte chave de registo:

– [HKCU\Identities\%CLSID%\Software\Microsoft\Outlook Express\
   5.0\Mail]
   • "Warn on Mapi Send"=dword:00000000



Altera as seguintes chaves de registo do Windows:

– [HKCU\Software\Policies\Microsoft\Windows\System]
   Valor recente:
   • "DisableCMD"=dword:00000001

Home page do Internet Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor recente:
   • "DisableRegistryTools"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

 E-mail Utiliza o Messaging Application Programming Interface (MAPI) para enviar e-mails. As características são as seguintes:


Assunto:
Um dos seguintes:
   • %uma série de caracteres aleatórios%,your name is listed in terrorism organisation..!!!
   • %uma série de caracteres aleatórios%,this file from me,%uma série de caracteres aleatórios%,
   • %uma série de caracteres aleatórios%,Namamu termasuk dalam daftar terrorist..!!



Corpo:
–  Nalguns casos pode ter caracteres aleatórios.
O corpo do email é um dos seguintes:

   • This attachment contain listname of terrorist..!!!
     hope you can be carrefull if you find one of them..!!!!
     or you can reply this email to me after you read the attachment
     thank's...!!!
     

   • jika anda nggak percaya atau kurang yakin, coba baca list attachment ini..!!!
     ini sangat urgent..!!!!
     saya harap dengan begini kita nggak ada salah paham
     thank's...!!!

   • if you are not sure, please read attachment bellow, and please reply to me..!!!
     this message is very urgent..!!!!
     hope we don't have miss understanding
     thank's...!!!


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • %uma série de caracteres aleatórios%.zip
   • %uma série de caracteres aleatórios%.exe
   • listname_of_terrorist.exe

O ficheiro de atalho é uma cópia do malware.

O ficheiro de atalho contém uma cópia do próprio malware.

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Criação de endereços IP:
Cria endereços IP aleatórios enquanto mantém os primeiros dois octetos do seu próprio endereço. Depois tenta estabelecer uma ligação com os endereços criados.

 Terminar o processo A seguinte lista de processos são terminados:
   • cmd.exe; mmc.exe; msconfig.exe; MIRC.EXE; MIRC.exe; mirc.exe;
      EXCEL.EXE; EXCEL.exe; excel.exe; WINWORD.EXE; WINWORD.exe; winword.exe


 Detalhes do ficheiro Data de compilação:
Data: 28/02/2006
Hora: 13:51:45

Descrição enviada por Andrei Ivanes em quarta-feira, 22 de março de 2006
Descrição atualizada por Andrei Ivanes em sexta-feira, 21 de setembro de 2007

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.