W32/Minerv.A

MINERV.A gusano de Internet y recursos compartidos infecta raíz de unidades de discos removibles, etc.

W32/Minerv.A

Minerv.A es un gusano residente en memoria reportado el 02 de Octubre del 2007, que se propaga a través de redes con recursos compartidos y servicios de Internet. Ha sido creado en alusión a un popular juego denominado Minerva:

http://www.hylobatidae.org/minerva/blogsheep.php

Infecta la raíz de las unidades de disco removibles, incluyendo dispositivos USB. Desestabiliza el sistema e impide la ejecución de algunos programas y servicios.

Infecta Windows 95/98/Me/NT/XP/Vista y Server 2003, está desarrollado en MS Visual C++ con una extensión variable y no está encriptado.

Al activarse se copia a las siguientes rutas con los nombres de archivos:

%ProgramFiles%\Windows Media Player\New Game.exe
%Startup%\minerva.com
%System%\Minerva.exe
%Temp%\Good_Bye_Aeris.com
%Temp%\minerva.com

Se copia además a la carpeta en uso con los nombres:

Minerva Game.exe
New_Game.exe
New Game.exe
New_Games.exe

Para desestabilizar el sistema y alterar la ejecución de algunos programas se copia a las rutas con los nombres de archivos:

%Temp%\Hipotalamus.dll
%Temp%\InjectCalc.exe
%Temp%\InjectMsconfig.exe
%Temp%\InjectRegedit.exe
%Temp%\InjectTaskman.exe
%System%\InjectCalc.exe
%System%\InjectMsconfig.exe
%System%\InjectRegedit.exe
%System%\InjectTaskman.exe

También libera los siguientes archivos:

%My Documents%\COLUMNS.DAT
%Temp%\Aeris.mid
%Temp%\BittersweetRomance.mid
%Temp%\FF8Theme.mid
%Temp%\FFTheme.mid
%Temp%\FFXOpening.mid
%Temp%\GarnetTheme.mid
%Temp%\Loss_of_Me.mid
%Temp%\SongOfMemory.mid
%Temp%\Victory.mid
%Temp%\Waltztm.mid
%Temp%\YunaTheme.mid
%Temp%\Columns.exe
%Temp%\ROGER.WAV
%Temp%\TOENG.WAV
%Windir%\Media\ROGER.WAV
%Windir%\Media\TOENG.WAV

Para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves de registro:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe]
"Debugger" = "%System%\Minerva.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe]
"Debugger" = "%System%\Minerva.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansavgd.exe]
"Debugger" = "%System%\Minerva.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansav.exe]
"Debugger" = "%System%\Minerva.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%ProgramFiles% es la variable referida a la carpeta de archivos de programa. Por defecto es C:\Program Files.

%Startup% es la barra de menu del lado izquierdo del escritorio de Windows que muestra la lista de programas más usados en un sistema. Se activa haciendo click en "Inicio".

Al siguiente inicio del equipo el gusano registra el archivo Minerva.exe como un nuevo servicio de sistema con el nombre de "Minerva", mostrando el título de "The Opposite Of Renova" y que tiene el atributo de inicio automático, para lo cual crea el registro:

[HKLM\SYSTEM\CurrentControlSet\Services\Minerva]

Luego se copia a todos los recursos compartidos de las redes locales (LAN)

Infecta la raíz de las unidades de disco removibles, incluyendo dispositivos removibles de almacenamiento USB.

PER ANTIVIRUS® versión 10.2 con registro de virus al 02 de Octubre del 2007 detecta y elimina eficientemente este gusano.