Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

I-Worm.Masanaは、感染した電子メールへの添付ファイルとしてインターネット経由で広がるワームウイルスです。ワーム自体は約107KbのサイズのWindows PE EXEファイルで、ASPackはそれを圧縮し、圧縮解除されたサイズは約138Kbで、Delphiで書かれています。

感染したメッセージには以下が含まれます：

もう一つの変種は、ロシア語であるが、上記と同じ主体と身体である。

ワームは、添付ファイルをクリックした場合にのみ、感染した電子メールから起動します。その後、ワームは自身をシステムにインストールし、拡散ルーチンとペイロードを実行します。

ワームはコードにバグがあります。その結果、そのルーチンのいくつかは機能しません。

インストール
ワームをインストールすると、 msys32.exe名の下にWindowsシステムディレクトリに自身をコピーし、このファイルをシステムレジストリ（Windows NTの場合）またはSYSTEM.INI（Windows 9xの場合）の自動実行キーに登録します。

SYSTEM.INI
[ブート]
shell = Explorer.exe msys32.exe -dontrunold

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

管理者として実行

Windows NTシステムでは、ワームは管理者権限を取得します。これを行うために、ワームはWindows NTセキュリティ（いわゆるDepPloitエクスプロイト）の違反を利用します。

Masanaワームは、攻撃を管理する2つの追加ファイルをディスク上に作成します。

ERunAsX.exe
ERunAsX.dll

その後、ワームはEEXPLORER.EXEという名前で自身の別のコピーを作成し、Depopoitエクスプロイトを使用してこのコピーを管理者権限で開始します。

広がる
感染したメッセージを送信するために、ワームはWindows MAPI機能を使用します。

犠牲者のメールアドレスを取得するにはMasana：

* .HTM *ファイルを探し、電子メールのような文字列を抽出する
Windows MAPI機能を使用して、受信トレイから未読のメッセージをすべて読み込んで応答します。

Masanaが実行されるたびに、感染メッセージをmasyana@nm.ruアドレスに送信します。このメッセージは次のようになります。

件名：Masyanya！
ボディ：ギャギー！
添付：Masyanya.exe

ペイロード
月曜日に、ワームはkavkaz.orgでDoS（Denial of Service）攻撃を開始します。

その他
このワームはまた：

MS Outlook Express 5.0のMAPISendMail警告を無効にします。
システムに管理者特権（Windows NT上）のmasyanechkaaという名前のユーザーを追加します。I -Worm.Masanaには、以下のテキスト文字列も含まれています。

I-Worm.Masyanya v1.0 8）ちょうどこんにちは世界のワーム…

ワームは、システムが既に感染していることを示す追加のレジストリキーも作成します。

HKCUE環境
ID = 1

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Email-Worm
プラットフォーム	Win32
説明	技術的な詳細 I-Worm.Masanaは、感染した電子メールへの添付ファイルとしてインターネット経由で広がるワームウイルスです。ワーム自体は約107KbのサイズのWindows PE EXEファイルで、ASPackはそれを圧縮し、圧縮解除されたサイズは約138Kbで、Delphiで書かれています。感染したメッセージには以下が含まれます：もう一つの変種は、ロシア語であるが、上記と同じ主体と身体である。ワームは、添付ファイルをクリックした場合にのみ、感染した電子メールから起動します。その後、ワームは自身をシステムにインストールし、拡散ルーチンとペイロードを実行します。ワームはコードにバグがあります。その結果、そのルーチンのいくつかは機能しません。インストールワームをインストールすると、 msys32.exe名の下にWindowsシステムディレクトリに自身をコピーし、このファイルをシステムレジストリ（Windows NTの場合）またはSYSTEM.INI（Windows 9xの場合）の自動実行キーに登録します。 SYSTEM.INI [ブート] shell = Explorer.exe msys32.exe -dontrunold HKLMSoftwareMicrosoftWindowsCurrentVersionRun 管理者として実行 Windows NTシステムでは、ワームは管理者権限を取得します。これを行うために、ワームはWindows NTセキュリティ（いわゆるDepPloitエクスプロイト）の違反を利用します。 Masanaワームは、攻撃を管理する2つの追加ファイルをディスク上に作成します。 ERunAsX.exe ERunAsX.dll その後、ワームはEEXPLORER.EXEという名前で自身の別のコピーを作成し、Depopoitエクスプロイトを使用してこのコピーを管理者権限で開始します。広がる感染したメッセージを送信するために、ワームはWindows MAPI機能を使用します。犠牲者のメールアドレスを取得するにはMasana： * .HTM ファイルを探し、電子メールのような文字列を抽出する Windows MAPI機能を使用して、受信トレイから未読のメッセージをすべて読み込んで応答します。 Masanaが実行されるたびに、感染メッセージをmasyana@nm.ruアドレスに送信します。このメッセージは次のようになります。件名：Masyanya！ボディ：ギャギー！添付：Masyanya.exe ペイロード* 月曜日に、ワームはkavkaz.orgでDoS（Denial of Service）攻撃を開始します。その他このワームはまた： MS Outlook Express 5.0のMAPISendMail警告を無効にします。システムに管理者特権（Windows NT上）のmasyanechkaaという名前のユーザーを追加します。I -Worm.Masanaには、以下のテキスト文字列も含まれています。 I-Worm.Masyanya v1.0 8）ちょうどこんにちは世界のワーム… ワームは、システムが既に感染していることを示す追加のレジストリキーも作成します。 HKCUE環境 ID = 1
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Email-Worm.Win32.Masana

技術的な詳細