BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.Win32.Masana

Sınıf Email-Worm
Platform Win32
Açıklama

Teknik detaylar

I-Worm.Masana, Internet üzerinden virüslü e-postalara ek olarak yayılan bir solucan virüsüdür. Solucan kendisi, yaklaşık 107Kb boyutunda bir Windows PE EXE dosyasıdır – ASPack sıkıştırır, sıkıştırılmış boyut, Delphi'de yazılan yaklaşık 138Kb'dir.

Enfekte mesajlar şunları içerir:

Bir başka varyant, yukarıdaki gibi aynı konu ve vücuttur, ancak Rusçadır.

Solucan, yalnızca bir kullanıcı ekli dosyaya tıkladığında virüs bulaşmış e-postadan etkinleştirilir. Solucan kendini sisteme yükler, yayılma rutinini ve yükünü çalıştırır.

Solucan kodunda hatalar var; Sonuç olarak, bazı rutinleri çalışmıyor.

yükleme
Solucanı kurarken kendisini msys32.exe adı altında Windows sistem dizinine kopyalar ve bu dosyayı sistem kayıt defterinde (Windows NT altında) veya SYSTEM.INI (Windows 9x altında) otomatik çalıştırma anahtarlarında kaydeder:

System.ini
[çizme]
shell = Explorer.exe msys32.exe -dontrunold

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

Yönetici olarak çalıştır

Windows NT sistemlerinde solucan, Yönetici ayrıcalıkları kazanır. Bunu yapmak için solucan, Windows NT güvenliği (DepPloit istismar) olarak adlandırılan bir ihlali kullanır.

Masana solucanı, diski yöneten iki ek dosya oluşturur:

ERunAsX.exe
ERunAsX.dll

Solucan daha sonra EEXPLORER.EXE adı altında başka bir kopyasını oluşturur ve DepPLoit istismarını kullanarak bu kopyasını yönetici haklarıyla başlatır.

Yayma
Virüs bulaşan mesajlar göndermek için solucan Windows MAPI işlevlerini kullanır.

Mağdur e-posta adreslerini Masana almak için:

  1. * .HTM * dosyalarını arar ve e-posta benzeri dizeleri ayıklar.
  2. Windows MAPI işlevlerini kullanarak Gelen Kutusundaki tüm okunmamış iletileri okur ve yanıtlar .

Masana her çalıştırıldığında da masyana@nm.ru adresine virüslü mesaj gönderir. Bu mesaj aşağıdaki gibi görünüyor:

Konu: Masyanya!
Gövde: gygygy!
Eklenti: Masyanya.exe

Taşıma kapasitesi
Pazartesi günleri solucan kavkaz.org'da bir DoS (Hizmet Reddi) saldırısı başlatır.

Diğer
Bu kurt ayrıca:

  • MS Outlook Express 5.0 MAPISendMail uyarısını devre dışı bırakır.
  • yönetici ayrıcalıkları olan (Windows NT altında) I-Worm.Masana ile masyanechkaa adlı kullanıcıyı da sisteme ekler:

    I-Worm.Masyanya v1.0 8) Sadece bir dünya solucanı …

    Solucan ayrıca, sistemin zaten virüslü olduğunu gösteren ek bir kayıt defteri anahtarı oluşturur:

    HKCUEnvironment
    ID = 1


Orijinaline link