Kavkaz.orgにDoSを仕掛けるMasanaワーム | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.11(月)

Kavkaz.orgにDoSを仕掛けるMasanaワーム

国際 海外情報

◆概要:
 新種の大量メール送信型ワーム、Masanaは、毎週月曜日にKavkaz.orgにサービス拒否攻撃を実行する。

 Masanaが送信する電子メールの特徴は以下の通り。

件名:Masyanya!
本文:Hi, here is a new film about Masyanya and V.V.Putin!!! Homepage: http://mult.ru
添付ファイル:Masyanya.exe (107k)

 別の亜種の電子メールとして、同じ件名と本文でロシア語で書かれているものもある。感染電子メール添付ファイルが実行されると、Masanaはマイクロソフト社のWindowsオペレーティングシステムを実行しているコンピューターを攻撃する。また、ワームは自身をmsys32.exeファイルとしてWindowsのSystemディレクトリーにコピーする。さらに、MasanaはこのファイルがWindowsの起動時に実行され、感染を追跡できるよう、Windowsのリジストリを変更する。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

HKCUEnvironment
ID="1"

 また、MasanaはWindowsの起動時にワームが実行されるよう、system.iniファイルも変更する。

[boot]
shell=Explorer.exe msys32.exe -dontrunold

 Microsoft Windows NTでは、Masanaは DebPloitの攻撃ツールを利用して管理者特権を取得しようとする(ID# 108664, April 16, 2002; ID# 108120, March 19, 2002)。この環として、MasanaはローカルドライブにERunAsX.exe、ERunAsX.dllファイルを作成する。また、脆弱性の利用に成功した場合、Masanaは乗っ取ったコンピューターの管理者ユーザーとしてmasyanechkaaという名前を追加する。

 Masanaはローカルドライブの全てのHTM、HTMLファイル、及び受信トレイに含まれる全ての未読メールメッセージから大量メール送信を実行するためのメールアドレスを取得する。この大量メール送信の他に、以下の特徴を持つ別の電子メールが masyana@nm.ru に送信される。

件名:Masyanya!
本文: gygygy!
添付ファイル:Masyanya.exe

 また、Masanaは、感染コンピューターでの自身の存在を隠すため、Microsoft Outlook Express 5.0のMAPISendMail警告を無効にしようとする。Masanaの悪意のあるコードには以下のテキストが含まれる。

(I-Worm.Masyanya v1.0 8) Just a hello-world worm...

 毎週月曜日、MasanaはKavkaz.orgにDoS攻撃を仕掛けようとする。Kavkaz.orgは、1999年3月に設立されたチェチェン独立派のイスラム教徒の国際的なインターネットエージェンシー、カフカス センター (Caucasus Center) のウェブサイトである。同ウェブサイトには、チェチェン共和国(Chechen Republic of Ichkeria; CRI)に対するロシア軍の侵攻に関するニュースが大量に掲載されている。また、同ウェブサイトは salatag@hotmail.com というアドレスを持つMovladi Udugに登録されている。Udugの拠点はフロリダ州のオーランド市である。

別名:
I-Worm.Masana, Masana, I-Worm.Masyanya v1.0 8

◆情報ソース:
・Kaspersky Labs ( http://www.avp.ch/avpve/worms/email/masana.stm ), May 06, 2002
・iDEFENSE Intelligence Operations, May 06, 2002

◆分析:
 (iDEFENSE米国)Masanaは乗っ取ったコンピューターで管理者特権を入手し、電子メールの受信で感染を確認したリモート攻撃者によって、更なる攻撃を可能にするものである。管理者特権を取得した場合、リモート攻撃者はトロイの木馬アプリケーションをネットワークに感染させ、乗っ取ったネットワークでさまざまな悪意のある活動を行ったりすることが可能性である。

 また、Masanaが攻撃対象とするKavkaz.orgへのDoS攻撃も懸念される。当初の調査では、同組織へのDoS攻撃は失敗したことが判明している。しかしながら、Masanaが広範囲に広まれば、DoS攻撃が成功する可能性がある。

◆検知方法:
 上述の電子メールがないか、WindowsのSystemディレクトリーにmsys32.exeファイルがないか、及び当該ワームが作成するWindowsのリジストリキーがないか確認する。また、system.iniにこのワームが作成する項目が含まれていないか、及び乗っ取っられたコンピューターの管理者ユーザーとしてmasyanechkaaが追加されていないか確認する。

◆リカバリー方法:
 Masanaに関連する全てのファイルとWindowsのリジストリキーを削除する。また、破壊・破損したファイルをクリーンなバックアップコピーで復元する。必要に応じて、Microsoft Outlook Express 5.0のMAPISendMail警告の設定を復元する。

◆暫定処置:
 一般的に悪意のあるコードが他のコンピューターに拡散する際に用いる種類のファイルをブロックするよう電子メールサーバーとワークステーションを設定する。また、すべての新規ファイルを慎重に取り扱い、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。

◆ベンダー情報:
 現在、Kaspersky Labs社のアンチウイルスソフトウェアが、この新しい悪意のあるコードへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこの悪意のあるコードを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【18:22 GMT、05、06、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  2. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  3. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  4. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  5. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  6. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  7. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  8. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  9. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  10. Mac OS X のシングルユーザモードの root アクセス(2)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×