Win32.Antiman.A@mm

Raspandire : mare
Dauna : mediu
Size: 392 KB
Descoperit : 2005 May 30

SYMPTOMS:

Prezenta urmatoarelor fisiere:

FUNNY.SCR - in Windows directory
STARTWIN.EXE - in Start Menu\Programs\Startup

TECHNICAL DESCRIPTION:

Viermele ajunge la destinatar prin e-mail, intr-unul din formele urmatoare (textele sunt in romana):

De la: [falsificat]
Subiect: Poza de la mare...
Corp: Ti-am trimis ultima poza de la mare. Asta e?
Atasament: scan_picture_0001._JPG.exe

De la: [falsificat]
Subiect: Antivirus
Corp: Asta e ultimul antivirus. Ar trebui sa rezolve toate problemele.
Atasament: antivirus.exe

De la: [falsificat]
Subiect: Sex in camin
Corp: Ioana, sex in grup in camin. Cred ca o stii si tu
Atasament: ioana_divx._AVI.exe

De la: [falsificat]
Subiect: Faza cu camila
Atasament: camila.exe

De la: [falsificat]
Subiect: De ce mor mai repede curiosii...
Corp: Nu deschide acest mesaj! E numai pentru persoanele prea curioase!
Atasament: curiosii.exe

De la: [falsificat]
Subiect: Antimanele
Corp: Daca sunteti nu mai suportati manelele la servici, tramvai, taxi, metrou, etc., trimiteti acest mesaj la toti prietenii dvs. ! Va multumesc (din suflet).
Atasament: antimanele.exe

De la: [falsificat]
Subiect: Votati astazi!
Corp: Credeti ca ar fi mai bine ca Romania sa-si retraga trupele din Irak anul acesta? Deschideti programul Vot, alegeti votul dvs. si vedeti rezultatele. Parerea dvs. conteaza!
Atasament: [current date].exe

De la: [falsificat]
Subiect: Cu sau fara Manele ?
Corp: Credeti ca ar fi mai bine ca manelele sa fie interzise in Romania? Deschideti programul de votare, alegeti votul dvs. si vedeti rezultatele. Parerea dvs. conteaza!
Atasament: vot_manele.exe

De la: [falsificat]
Subiect: Pentru Ionel
Corp: Draga Ionel, Scuza-ma ca nu ti-am mai scris de mult timp, dar am avut ceva probleme cu calculatorul. Ti-am promis ultima data pe chat o poza cu mine dezbracata... m-am gandit mult la asta si cred ca pana la urma cel mai bine e sa-ti trimit o poza. Sper sa-ti placa. Daca nu o sa-mi mai scrii dupa mesajul asta, o sa te inteleg... Roxana,
Atasament: poza_roxana._JPG.exe

De la: [falsificat]
Subiect: Cum a murit Papa?
Corp: Film cu moartea papei. Toate drepturile rezervate. Este interzisa modificarea continutului. Poate fi redistribuit. Asociatia Catolicilor Anonimi din Romania.
Atasament: film_papa._avi._divx_.exe


Cand este rulat, viermele se copiaza in directorul Windows cu numele FUNNY.SCR si se seteaza ca screen saver, prin scrierea urmatoarelor chei de registri:

HKEY_CURRENT_USER\Control Panel\Desktop\"SCRNSAVE.EXE" = "%WINDIR%\FUNNY.SCR"
HKEY_CURRENT_USER\Control Panel\Desktop\"ScreenSaveTimeOut" = "300"

astfel incat va rula ca screen saver dupa 5 minute de neactivitate.

De asemenea, se copiaza in fisierul Startup astfel incat sa ruleze odata cu fiecare sesiune Windows:

%DocumentsAndSettings%\%User%\Start Menu\Programs\Startup\STARTWIN.EXE

Pe urma scaneaza hard-disk-ul si sterge fisierele multimedia care contin unul din urmatoarele siruri de caractere:

Liviu Guta, Liviu_Guta, Nicolae Guta, Nicolae_Guta, Copilul de aur, Copilul_de_aur, adi de la valcea, adi_de_la_valcea, adi de vito, ady de vito, florin salam, florin_salam, adrian & camy, stana isbasa, adrian cm, adrian copilul minune, adrian_copilul_minune, alina si costi, copilul de aur, dani de la deva, gabi din buzau, gabi de la giulesti, liviu pustiu, guta jr, guta & sorina, printesa ionela, don genove, jean de la craiova, cristian gusatu, ovidiu mititelu, sorinel pustiu, lucian seres, mihaela minune, minodora, n. guta, n.guta, nico cu carbon, nico_cu_carbon, sile dorel, vali vijelie, carmen serban, petrica cercel, nicu paleru, cata boss, liviu_guta, stefan de la barbulesti, florin peste, liviu cu mirela, sorina & florinel, puiu codreanu, catalin de la buzau, daniel dinescu, relu pustiu, victor spaniolu, vali raicu, adi caval, carmen dobre, sorinel copilu de aur, as da zile de la mine, sunt seful vostru pana mor, chefdechef, chef de chef, dusmanii mei, plange sufletul, jumatate tu, jumatate eu, ce le-nnebuneste pe femei, sa cante manelele.

Viermele se trimite in mesaje electronice tuturor adreselor din Outlook si, de asemenea, scaneaza logurile fisierelor Yahoo Messenger pentru a aduna noi adrese de mail.

Creaza un fisier log numit M.TXT in radacina discului C: unde isi logheaza actiunile. Fisierul log poate fi sters.

Removal instructions:

Dezinfectie automata:
Scanati computerul cu BitDefender si stergeti toate fisierele infectate cu acest vierme.

Dezinfectie Manuala:
Descarcati utilitarul nostru de dezinfectie.

ANALYZED BY:

Mihai Neagu