Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

UWAGA! I-Worm.Win32.Maslan.a

Jest to robak rozprzestrzeniający się przez Internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci wymiany plików. Wykorzystuje także luki w zabezpieczeniach systemów Windows - LSASS (http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx) oraz RPC DCOM (http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx). Szkodnik ma postać pliku PE EXE o rozmiarze około 49 KB (kompresja FSG, rozmiar po rozpakowaniu - około 81 KB). Szkodnik wyposażony jest w procedurę backdoor.

Instalacja

Po uruchomieniu robak tworzy w folderze \Windows\System następujące pliki:

%System%\___r.exe
%System%\___j.dll
%System%\___n.EXE
%System%\___t
%System%\___AlaMail
%System%\___AlaScan
%System%\___AlaDdos
%System%\___AlaFtp
%System%\___Prior
%System%\___e
%System%\___m
%System%\___m

i tworzy następujące klucze w rejestrze systemowym:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Windows DHCP" = "%System%\___r.exe"
"Microsoft Synchronization Manager" = "___synmgr.exe"

W celu oznaczenia zainfekowanego systemu robak tworzy unikatowy identyfikator o nazwie ALAxALA.

Rozprzestrzenianie - poczta elektroniczna

Adresy potencjalnych ofiar pobierane są z systemowej książki adresowej oraz z plików posiadających następujące rozszerzenia:

adb
asp
cfg
cgi
dbx
dhtm
eml
htm
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xml

Szkodnik nie wysyła własnych kopii pod adresy zawierające następujące teksty:

abuse 
acketst
anyone
arin.
avp
berkeley
borlan
bsd
bugs
ca
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
help
iana
ibm.com
ietf
info
inpris
isc.o
isi.e
kernel
linux
math
me
mit.e
mozilla
mydomai
mysql
no
nobody
nodomai
noone
not
nothing
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
spam
spm
submit
syma
tanford.e
test
the.bat
unix
usenet
utgers.ed
webmaster
www
you
your

W celu wysyłania wiadomości robak nawiązuje bezpośrednie połączenie z serwerem SMTP odbiorcy.

Charakterystyka zainfekowanych wiadomości e-mail

  • Nazwa nadawcy (wybierana z poniższych możliwości):
    accoun
    admin
    Alan
    Andrew
    Angel
    Anna
    Arnold
    Bernard
    Carter
    certific
    Chris
    Christian
    Conor
    Ghisler
    Goldberg
    Green
    Helen
    Ivan
    Jackson
    John
    Kramer
    Kutcher
    listserv
    Liza
    Lopez
    Mackye
    Maria
    Miller
    Nelson
    ntivi
    Peter
    Robert
    Ruben
    Sarah
    Scott
    Smith
    Steven
    subscribe
    
  • Domena nadawcy (wybierana z poniższych możliwości):
    aol.com
    freemail.com
    hotmail.com
    mail.com
    msn.com
    yahoo.com
    
  • Temat:
    123
    
  • Treść:
    Hello , 
    --Best regards,
    
  • Nazwa załącznika (wybierana z poniższych możliwości):
    Playgirls2.exe
    

Funkcja dodatkowa

Podczas rozprzestrzeniania się za pośrednictwem sieci P2P robak wyszukuje pliki EXE zapisane w folderach, których nazwy zawierają następujące teksty:

share 
upload 
downlo
setup
distr

Oryginalne pliki zastępowane są kodem szkodnika, a ich kopie zapisywane są w folderze ___b tworzonym w katalogu głównym dysku C:.

Robak podejmuje próby usuwania z zainfekowanego systemu zapór ogniowych oraz aplikacji antywirusowych.

Szkodnik przeprowadza ataki DoS na następujących serwisach WWW:

kavkazcenter.com
kavkazcenter.net
kavkazcenter.info
kavkaz.uk.com
kavkaz.org.uk
kavkaz.tv
chechenpress.com
chechenpress.info
Remote administration

Robak otwiera losowy port TCP i oczekuje na zdalne polecenia napływające poprzez kanały IRC.

Informacje dodatkowe

W kodzie robaka zapisany jest następujący tekst:

Hah: Mydoom, Bagle, etc: since then you do not have future more!
Email-Worm.Win32.Maslan.a (Kaspersky Lab), Exploit-Lsass.g.gen (McAfee),   W32.Maslan.A@mm (Symantec),   Win32.HLLM.Alaxala (Doctor Web),   W32/Maslan-A (Sophos),   WORM_MASLAN.A (Trend Micro),   Worm/Zusha.A (H+BEDV),   I-Worm/Maslan.A (Grisoft),   Win32.Maslan.A@mm (SOFTWIN),   Exploit.DCOM.Gen (ClamAV),   Win32/Maslan.A (Eset)


 2004-12-10  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych