本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Masana

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

I-Worm.Masanaは、感染した電子メールへの添付ファイルとしてインターネット経由で広がるワームウイルスです。ワーム自体は約107KbのサイズのWindows PE EXEファイルで、ASPackはそれを圧縮し、圧縮解除されたサイズは約138Kbで、Delphiで書かれています。

感染したメッセージには以下が含まれます:

もう一つの変種は、ロシア語であるが、上記と同じ主体と身体である。

ワームは、添付ファイルをクリックした場合にのみ、感染した電子メールから起動します。その後、ワームは自身をシステムにインストールし、拡散ルーチンとペイロードを実行します。

ワームはコードにバグがあります。その結果、そのルーチンのいくつかは機能しません。

インストール
ワームをインストールすると、 msys32.exe名の下にWindowsシステムディレクトリに自身をコピーし、このファイルをシステムレジストリ(Windows NTの場合)またはSYSTEM.INI(Windows 9xの場合)の自動実行キーに登録します。

SYSTEM.INI
[ブート]
shell = Explorer.exe msys32.exe -dontrunold

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

管理者として実行

Windows NTシステムでは、ワームは管理者権限を取得します。これを行うために、ワームはWindows NTセキュリティ(いわゆるDepPloitエクスプロイト)の違反を利用します。

Masanaワームは、攻撃を管理する2つの追加ファイルをディスク上に作成します。

ERunAsX.exe
ERunAsX.dll

その後、ワームはEEXPLORER.EXEという名前で自身の別のコピーを作成し、Depopoitエクスプロイトを使用してこのコピーを管理者権限で開始します。

広がる
感染したメッセージを送信するために、ワームはWindows MAPI機能を使用します。

犠牲者のメールアドレスを取得するにはMasana:

  1. * .HTM *ファイルを探し、電子メールのような文字列を抽出する
  2. Windows MAPI機能を使用して、受信トレイから未読のメッセージをすべて読み込んで応答します。

Masanaが実行されるたびに、感染メッセージをmasyana@nm.ruアドレスに送信します。このメッセージは次のようになります。

件名:Masyanya!
ボディ:ギャギー!
添付:Masyanya.exe

ペイロード
月曜日に、ワームはkavkaz.orgでDoS(Denial of Service)攻撃を開始します。

その他
このワームはまた:

  • MS Outlook Express 5.0のMAPISendMail警告を無効にします。
  • システムに管理者特権(Windows NT上)のmasyanechkaaという名前のユーザーを追加します。I -Worm.Masanaには、以下のテキスト文字列も含まれています。

    I-Worm.Masyanya v1.0 8)ちょうどこんにちは世界のワーム…

    ワームは、システムが既に感染していることを示す追加のレジストリキーも作成します。

    HKCUE環境
    ID = 1


オリジナルへのリンク