6 maja 2002

I-Worm.Masana - przeprowadza atak DoS

Jest to robak rozprzestrzeniający się poprzez Internet jako plik załączony do wiadomości e-mail. Wirus ma postać pliku PE EXE o rozmiarze około 107 KB i został stworzony przy pomocy środowiska programistycznego Delphi.

Zainfekowane wiadomości wyglądają następująco:

Temat: Masyanya!

Treść: Hi, here is a new film about Masyanya and V.V.Putin!!!
Homepage: http://mult.ru

Nazwa załącznika: Masyanya.exe

Temat i treść wiadomości może występować również w języku rosyjskim.

Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załącznik.

W kodzie szkodnika znajdują się błędy, które mogą powodować jego błędne działanie.

Instalacja

Podczas instalacji robak kopiuje się do katalogu Windows z nazwą "msys32.exe" i tworzy dla tej kopii klucz auto-run w rejestrze systemowym (w przypadku systemów WinNT) lub wpis w pliku SYSTEM.INI (w systemach Win9x):

SYSTEM.INI
[boot]
shell=Explorer.exe msys32.exe -dontrunold

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Działanie z prawami administratora

W systemach WinNT robak przejmuje prawa administratora. W tym celu szkodnik korzysta z luki w zabezpieczeniach systemu zwanej DebPloit.

Wirus tworzy na dysku dwa pliki: ERunAsX.exe oraz ERunAsX.dll. Następnie robak zapisuje kolejną kopię z nazwą EEXPLORER.EXE i korzystając z luki DebPloit uruchamia ją z prawami administratora.

Rozprzestrzenianie

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje funkcje MAPI systemu Windows.

Adresy "ofiar" pobierane są:

  • z plików *.HTM*
  • przy użyciu funkcji MAPI - robak odpowiada na wszystkie nie przeczytane wiadomości zapisane w skrzynce odbiorczej.

Dodatkowo podczas każdego uruchomienia robak wysyła poniższą wiadomość pod adres "masyana@nm.ru":

Temat: Masyanya!
Treść: gygygy!
Załącznik: Masyanya.exe

Funkcja dodatkowa

W poniedziałki robak przeprowadza atak DoS (Denial of Service) na serwerze "kavkaz.org".

Ponadto wirus:

  • wyłącza ostrzeżenie MAPISendMail w programie MS Outlook Express 5.0;
  • dodaje do systemu użytkownika "masyanechkaa" i nadaje mu prawa administratora (w systemach WinNT).

W kodzie szkodnika zapisany jest tekst:

I-Worm.Masyanya v1.0 8) Just a hello-world worm...

Wirus oznacza zainfekowane komputery dodając do rejestru systemowego następujący klucz:

HKCU\Environment\
ID = 1