Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

O I-Worm.Masana é um vírus worm que se espalha pela Internet como um anexo a e-mails infectados. O worm em si é um arquivo EXE do Windows PE com cerca de 107 Kb de tamanho – o ASPack o compacta, o tamanho descomprimido é de aproximadamente 138 Kb, escrito em Delphi.

Mensagens infectadas contêm o seguinte:

Outra variante é o mesmo assunto e corpo como acima, mas em russo.

O worm é ativado a partir do email infectado somente quando um usuário clica no arquivo anexado. O worm então se instala no sistema, executa sua rotina de distribuição e sua carga útil.

O worm tem erros em seu código; Como resultado, algumas de suas rotinas não funcionam.

Instalando
Ao instalar o worm, copia-se no diretório do sistema Windows com o nome msys32.exe e registra esse arquivo no registro do sistema (no Windows NT) ou nas chaves de execução automática SYSTEM.INI (no Windows 9x):

System.ini
[boot]
shell = Explorer.exe msys32.exe -dontrunold

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

Executar como administrador

Em sistemas Windows NT, o worm ganha privilégios de administrador. Para fazer isso, o worm usa uma violação na segurança do Windows NT (a chamada exploração DepPloit).

O worm Masana cria dois arquivos adicionais no disco que gerenciam a exploração:

ERunAsX.exe
ERunAsX.dll

O worm então cria outra cópia de si mesmo sob o nome EEXPLORER.EXE e usando o DepPLoit, a exploração inicia essa cópia com direitos de administrador.

Espalhando
Para enviar mensagens infectadas, o worm usa as funções do Windows MAPI.

Para obter os endereços de e-mail da vítima, Masana:

procura arquivos * .HTM * e extrai seqüências de caracteres semelhantes a email
Usando as funções do Windows MAPI, ele lê todas as mensagens não lidas da Caixa de Entrada e as responde .

Cada vez que Masana é executado, ele também envia uma mensagem infectada para o endereço masyana@nm.ru . Esta mensagem é a seguinte:

Assunto: Masyanya!
Corpo: gygygy!
Anexar: Masyanya.exe

Carga útil
Às segundas-feiras, o worm inicia um ataque DoS (negação de serviço) no kavkaz.org.

De outros
Este worm também:

desativa o aviso MAPISendMail do MS Outlook Express 5.0.
adiciona ao sistema o usuário chamado masyanechkaa com privilégios de administrador (no Windows NT) I-Worm.Masana também contém a seqüência de texto:

I-Worm.Masyanya v1.0 8) Apenas um worm hello-world …

O worm também cria uma chave de registro adicional que indica que o sistema já está infectado:

HKCUEnvironment
ID = 1

Link para o original

Classe	Email-Worm
Plataforma	Win32
Descrição	Detalhes técnicos O I-Worm.Masana é um vírus worm que se espalha pela Internet como um anexo a e-mails infectados. O worm em si é um arquivo EXE do Windows PE com cerca de 107 Kb de tamanho – o ASPack o compacta, o tamanho descomprimido é de aproximadamente 138 Kb, escrito em Delphi. Mensagens infectadas contêm o seguinte: Outra variante é o mesmo assunto e corpo como acima, mas em russo. O worm é ativado a partir do email infectado somente quando um usuário clica no arquivo anexado. O worm então se instala no sistema, executa sua rotina de distribuição e sua carga útil. O worm tem erros em seu código; Como resultado, algumas de suas rotinas não funcionam. Instalando Ao instalar o worm, copia-se no diretório do sistema Windows com o nome msys32.exe e registra esse arquivo no registro do sistema (no Windows NT) ou nas chaves de execução automática SYSTEM.INI (no Windows 9x): System.ini [boot] shell = Explorer.exe msys32.exe -dontrunold HKLMSoftwareMicrosoftWindowsCurrentVersionRun Executar como administrador Em sistemas Windows NT, o worm ganha privilégios de administrador. Para fazer isso, o worm usa uma violação na segurança do Windows NT (a chamada exploração DepPloit). O worm Masana cria dois arquivos adicionais no disco que gerenciam a exploração: ERunAsX.exe ERunAsX.dll O worm então cria outra cópia de si mesmo sob o nome EEXPLORER.EXE e usando o DepPLoit, a exploração inicia essa cópia com direitos de administrador. Espalhando Para enviar mensagens infectadas, o worm usa as funções do Windows MAPI. Para obter os endereços de e-mail da vítima, Masana: procura arquivos * .HTM * e extrai seqüências de caracteres semelhantes a email Usando as funções do Windows MAPI, ele lê todas as mensagens não lidas da Caixa de Entrada e as responde . Cada vez que Masana é executado, ele também envia uma mensagem infectada para o endereço masyana@nm.ru . Esta mensagem é a seguinte: Assunto: Masyanya! Corpo: gygygy! Anexar: Masyanya.exe Carga útil Às segundas-feiras, o worm inicia um ataque DoS (negação de serviço) no kavkaz.org. De outros Este worm também: desativa o aviso MAPISendMail do MS Outlook Express 5.0. adiciona ao sistema o usuário chamado masyanechkaa com privilégios de administrador (no Windows NT) I-Worm.Masana também contém a seqüência de texto: I-Worm.Masyanya v1.0 8) Apenas um worm hello-world … O worm também cria uma chave de registro adicional que indica que o sistema já está infectado: HKCUEnvironment ID = 1
	Link para o original

Email-Worm.Win32.Masana

Detalhes técnicos