Kavkaz.orgにDoSを仕掛けるMasanaワーム

◆概要：
　新種の大量メール送信型ワーム、Masanaは、毎週月曜日にKavkaz.orgにサービス拒否攻撃を実行する。

国際海外情報

2002年5月17日（金） 12時00分

◆概要：
　新種の大量メール送信型ワーム、Masanaは、毎週月曜日にKavkaz.orgにサービス拒否攻撃を実行する。

　Masanaが送信する電子メールの特徴は以下の通り。

件名：Masyanya!
本文：Hi, here is a new film about Masyanya and V.V.Putin!!! Homepage: http://mult.ru
添付ファイル：Masyanya.exe (107k)

　別の亜種の電子メールとして、同じ件名と本文でロシア語で書かれているものもある。感染電子メール添付ファイルが実行されると、Masanaはマイクロソフト社のWindowsオペレーティングシステムを実行しているコンピューターを攻撃する。また、ワームは自身をmsys32.exeファイルとしてWindowsのSystemディレクトリーにコピーする。さらに、MasanaはこのファイルがWindowsの起動時に実行され、感染を追跡できるよう、Windowsのリジストリを変更する。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

HKCUEnvironment
ID="1"

　また、MasanaはWindowsの起動時にワームが実行されるよう、system.iniファイルも変更する。

[boot]
shell=Explorer.exe msys32.exe -dontrunold

　Microsoft Windows NTでは、Masanaは DebPloitの攻撃ツールを利用して管理者特権を取得しようとする（ID# 108664, April 16, 2002; ID# 108120, March 19, 2002）。この環として、MasanaはローカルドライブにERunAsX.exe、ERunAsX.dllファイルを作成する。また、脆弱性の利用に成功した場合、Masanaは乗っ取ったコンピューターの管理者ユーザーとしてmasyanechkaaという名前を追加する。

　Masanaはローカルドライブの全てのHTM、HTMLファイル、及び受信トレイに含まれる全ての未読メールメッセージから大量メール送信を実行するためのメールアドレスを取得する。この大量メール送信の他に、以下の特徴を持つ別の電子メールが masyana@nm.ru に送信される。

件名：Masyanya!
本文： gygygy!
添付ファイル：Masyanya.exe

　また、Masanaは、感染コンピューターでの自身の存在を隠すため、Microsoft Outlook Express 5.0のMAPISendMail警告を無効にしようとする。Masanaの悪意のあるコードには以下のテキストが含まれる。

(I-Worm.Masyanya v1.0 8) Just a hello-world worm...

　毎週月曜日、MasanaはKavkaz.orgにDoS攻撃を仕掛けようとする。Kavkaz.orgは、1999年3月に設立されたチェチェン独立派のイスラム教徒の国際的なインターネットエージェンシー、カフカスセンター (Caucasus Center) のウェブサイトである。同ウェブサイトには、チェチェン共和国（Chechen Republic of Ichkeria; CRI）に対するロシア軍の侵攻に関するニュースが大量に掲載されている。また、同ウェブサイトは salatag@hotmail.com というアドレスを持つMovladi Udugに登録されている。Udugの拠点はフロリダ州のオーランド市である。

別名：
I-Worm.Masana, Masana, I-Worm.Masyanya v1.0 8

◆情報ソース：
・Kaspersky Labs ( http://www.avp.ch/avpve/worms/email/masana.stm ), May 06, 2002
・iDEFENSE Intelligence Operations, May 06, 2002

◆分析：
　（iDEFENSE米国）Masanaは乗っ取ったコンピューターで管理者特権を入手し、電子メールの受信で感染を確認したリモート攻撃者によって、更なる攻撃を可能にするものである。管理者特権を取得した場合、リモート攻撃者はトロイの木馬アプリケーションをネットワークに感染させ、乗っ取ったネットワークでさまざまな悪意のある活動を行ったりすることが可能性である。

　また、Masanaが攻撃対象とするKavkaz.orgへのDoS攻撃も懸念される。当初の調査では、同組織へのDoS攻撃は失敗したことが判明している。しかしながら、Masanaが広範囲に広まれば、DoS攻撃が成功する可能性がある。

◆検知方法：
　上述の電子メールがないか、WindowsのSystemディレクトリーにmsys32.exeファイルがないか、及び当該ワームが作成するWindowsのリジストリキーがないか確認する。また、system.iniにこのワームが作成する項目が含まれていないか、及び乗っ取っられたコンピューターの管理者ユーザーとしてmasyanechkaaが追加されていないか確認する。

◆リカバリー方法：
　Masanaに関連する全てのファイルとWindowsのリジストリキーを削除する。また、破壊・破損したファイルをクリーンなバックアップコピーで復元する。必要に応じて、Microsoft Outlook Express 5.0のMAPISendMail警告の設定を復元する。

◆暫定処置：
　一般的に悪意のあるコードが他のコンピューターに拡散する際に用いる種類のファイルをブロックするよう電子メールサーバーとワークステーションを設定する。また、すべての新規ファイルを慎重に取り扱い、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。

◆ベンダー情報：
　現在、Kaspersky Labs社のアンチウイルスソフトウェアが、この新しい悪意のあるコードへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこの悪意のあるコードを検知できる可能性がある。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【18:22 GMT、05、06、2002】

《ScanNetSecurity》