|
W32/Minusia@mm
Minusia es un gusano residente en memoria, reportado el 27 de Marzo del 2006 que se propaga a través de mensajes de correo con contenido religioso en lenguaje indonesio.También se propaga vía redes con recursos compartidos configuradas con contraseñas débiles.
Deshabilita la Barra de Tareas, el Editor de Registros y comando Prompt, ejecuta diversos procesos en memoria hasta lograr consumirla para lograr colgar el equipo infectado.
Es un PE (Portable Ejecutable) e infecta Windows 2000/XP y Server 2003 está escrito en MS Visual C++ con 49KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todas las direcciones de correo del sistema infectado contenidas en la Libreta de Direcciones de Windows y la carpeta temporal de Internet.
El mensaje tiene las siguientes características:
Asunto, elegido aleatoriamente de uno de los siguientes:
Contenido, uno de los siguientes:
Anexado: [nombre_aleatorio]listname of terrorist.exe:
Al ser activado se copia a las siguientes rutas con los nombres de archivos:
y para ejecutarse la próxima vez que se re-inicie el sistema modifica las llaves:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"mcAfee.Instan.Update" = "%Windows%\mmsg\mcAfee.Update.exe.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Easy.Windows.Monitor" = "%Windows%\Config\Easy.Windows.Monitoring.exe.exe"
adicionalemnnte crea las siguientes llaves para registrarse como un servicio:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice]
"ImagePath" = "%Windows%\system\svchost.exe"
y para asegurar su ejecución al re-inicio modifica la llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
para deshabilitar la Barra de Tareas, el Editor de Registros y comando Prompt agrega los siguientes valores en la llave:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "0x00000001"
"DisableRegistryTools" = "0x00000001"
"DisableCMD" = "0x00000001"
y libera en el directorio %Windir% los siguientes archivos inocuos:
copia al directorio %Windir% el archivo SYSTEM_LOG.TXT que contiene 3 cadenas de texto.
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
Al siguiente inicio del equipo activa el Notepad.exe o el editor de textos configurado por defecto, y abre una ventana con una de las siguientes tres cadenas elegidas aleatoriamente en idioma indonesio y contenido religioso:
Traducción al inglés:
Muhammad was HUMANKIND. . . . . . . . . . . . . !!!!!! Muhammad NOT the ANGEL, the GOD, OR EVEN TUHAN.. . !!!!! But he was the MODEL each kind of HUMANKIND, because of DIAADALAH NABIULLAH.. !!! We honored Muhammad as the PROPHET AND Chief because of the ACTION that 99% BENAR NOT as the GOD, the ANGEL OR EVEN TUHAN..
. . !!!! AS we honored the PROPHET Isa AND OTHER prophets KENAPA.. . ???? BECAUSE they were HUMANKIND JUGA SO please should not seek the MISTAKE AND KENISTAANNYA that Muhammad had MANY, as a wife curbed the WOMAN AND OTHER-LAIN WITH LOGIC, CERTAINLY could BY CHANCE
|
JADI, MOHON JANGAN HINA NABI-NABI KAMI...!!! KARENA MAREKA ADALAH NABI-NABI KALIAN JUGA..!!!! |
|
AKU AKAN BERHENTI JIKA ANDA MENYATAKAN SIAPA NABI KALIAN..... AKU AKAN BERHENTI JIKA ANDA MENYATAKAN SIAPA NABI KALIAN..... AKU AKAN BERHENTI JIKA ANDA MENYATAKAN SIAPA NABI KALIAN..... IF YOU DON'T UNDERSTAND, PLEASE TRANSLATE IN YOU LANGUAGE |
Luego ejecuta una diversidad de procesos en memoria hasta consumir el 100% de la RAM del sistema, logrando colgarla.
Finalmente rastrea direcciones direcciones IP aleatorias de servidores con recusos compartidos y configurados con contraseñas débiles, intentando ingresra a los siguientes recursos ocultos, con un diccionario de contraseñas:
PER ANTIVIRUS® versión 9.6 con registro de virus al 27 de Marzo del 2006 detecta y elimina eficientemente este gusano.
