Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

I-Worm.Masana je červový virus šířící se přes Internet jako příloha k infikovaným e-mailům. Červ samotný je soubor Windows PE EXE o velikosti 107 kB – ASPack jej komprimuje, dekomprimovaná velikost je asi 138 kB, napsaná v Delphi.

Infikované zprávy obsahují následující:

Další variantou je stejný předmět a tělo, jak je uvedeno výše, ale v ruštině.

Červ aktivuje infikovaný e-mail pouze tehdy, když uživatel klepne na připojený soubor. Červ se pak instaluje do systému, spouští rutinu a užitečné zatížení.

Červ má chyby ve svém kódu; v důsledku toho některé jeho rutiny nefungují.

Instalace
Při instalaci se červ zkopíruje do adresáře systému Windows pod názvem msys32.exe a registruje tento soubor v registru systému (pod Windows NT) nebo v systémech System.ini (pod Windows 9x) automaticky spouštět:

SYSTEM.INI
[boot]
shell = Explorer.exe msys32.exe -dontrunold

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

Spustit jako administrátor

V systémech Windows NT získává červ správce oprávnění. Za tím účelem používá červ v systému Windows NT (tzv. DepPloit exploit).

Virus Masana vytvoří dva další soubory na disku, které spravují exploit:

ERunAsX.exe
ERunAsX.dll

Červ potom vytvoří další kopii pod názvem EEXPLORER.EXE a pomocí aplikace DepPLoit exploit spustí tuto kopii s administrátorskými právy.

Šíření
Chcete-li posílat infikované zprávy, červa používá funkce Windows MAPI.

Chcete-li získat e-mailové adresy oběti Masana:

hledá * .HTM * soubory a extrahuje e-mailové řetězce
pomocí funkcí systému Windows MAPI čte všechny nepřečtené zprávy ze složky Doručená pošta a odpoví na ně.

Pokaždé, když je služba Masana spuštěna, zasílá také infikovanou zprávu na adresu masyana@nm.ru . Tato zpráva vypadá následovně:

Předmět: Masyanya!
Tělo: gygygy!
Připojit: Masyanya.exe

Užitné zatížení
V pondělí spustí červa útok na DoS (Denial of Service) na kavkaz.org.

jiný
Tento červ také:

zakáže varování MS Outlook Express 5.0 MAPISendMail.
přidává do systému uživatele s názvem masyanechkaa s oprávněními správce (pod Windows NT) I-Worm.Masana také obsahuje textový řetězec:

I-Worm.Masyanya v1.0 8) Jen hello-světový červ …

Červ vytváří také další klíč registru, který označuje, že systém je již infikován:

HKCUEnvironment
ID = 1

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Email-Worm
Platfoma	Win32
Popis	Technické údaje I-Worm.Masana je červový virus šířící se přes Internet jako příloha k infikovaným e-mailům. Červ samotný je soubor Windows PE EXE o velikosti 107 kB – ASPack jej komprimuje, dekomprimovaná velikost je asi 138 kB, napsaná v Delphi. Infikované zprávy obsahují následující: Další variantou je stejný předmět a tělo, jak je uvedeno výše, ale v ruštině. Červ aktivuje infikovaný e-mail pouze tehdy, když uživatel klepne na připojený soubor. Červ se pak instaluje do systému, spouští rutinu a užitečné zatížení. Červ má chyby ve svém kódu; v důsledku toho některé jeho rutiny nefungují. Instalace Při instalaci se červ zkopíruje do adresáře systému Windows pod názvem msys32.exe a registruje tento soubor v registru systému (pod Windows NT) nebo v systémech System.ini (pod Windows 9x) automaticky spouštět: SYSTEM.INI [boot] shell = Explorer.exe msys32.exe -dontrunold HKLMSoftwareMicrosoftWindowsCurrentVersionRun Spustit jako administrátor V systémech Windows NT získává červ správce oprávnění. Za tím účelem používá červ v systému Windows NT (tzv. DepPloit exploit). Virus Masana vytvoří dva další soubory na disku, které spravují exploit: ERunAsX.exe ERunAsX.dll Červ potom vytvoří další kopii pod názvem EEXPLORER.EXE a pomocí aplikace DepPLoit exploit spustí tuto kopii s administrátorskými právy. Šíření Chcete-li posílat infikované zprávy, červa používá funkce Windows MAPI. Chcete-li získat e-mailové adresy oběti Masana: hledá * .HTM * soubory a extrahuje e-mailové řetězce pomocí funkcí systému Windows MAPI čte všechny nepřečtené zprávy ze složky Doručená pošta a odpoví na ně. Pokaždé, když je služba Masana spuštěna, zasílá také infikovanou zprávu na adresu masyana@nm.ru . Tato zpráva vypadá následovně: Předmět: Masyanya! Tělo: gygygy! Připojit: Masyanya.exe Užitné zatížení V pondělí spustí červa útok na DoS (Denial of Service) na kavkaz.org. jiný Tento červ také: zakáže varování MS Outlook Express 5.0 MAPISendMail. přidává do systému uživatele s názvem masyanechkaa s oprávněními správce (pod Windows NT) I-Worm.Masana také obsahuje textový řetězec: I-Worm.Masyanya v1.0 8) Jen hello-světový červ … Červ vytváří také další klíč registru, který označuje, že systém je již infikován: HKCUEnvironment ID = 1
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Email-Worm.Win32.Masana

Technické údaje