VSantivirus No. 669 - Año 6 - Martes 7 de mayo de 2002
W32/Masana.A (W32/Masy). El adjunto es MASYANYA.EXE
http://www.vsantivirus.com/masana-a.htm
Nombre: W32/Masana.A
Tipo: Gusano de Internet
Alias: WORM_MASANA.A, I-Worm Masana, MASANA.A,
W32.Masy.Worm
Fecha: 6/may/02
Plataformas: Windows 9x, Me, NT, 2K, XP
Tamaño: 107,520 bytes (comprimido con Aspack)
Fuente: Kaspersky, Trend
Un mensaje con el asunto "Masyanya!" y un adjunto llamado
MASYANYA.EXE (un ejecutable en formato PE, escrito en Delphi), es el que transporta este gusano de Internet, capaz de propagarse a través de cualquier cliente de correo que soporte las funciones MAPI, y que esté instalado en la máquina infectada.
El gusano se activa solamente si el usuario hace doble clic sobre dicho adjunto.
Si se ejecuta bajo Windows NT, el gusano hace uso de un exploit conocido como
DebPloit, para ejecutarse con los privilegios del administrador del sistema. También intentará agregar un falso usuario
("masyanechkaa") en la cuenta local del administrador, cómo veremos más adelante.
Cuando el usuario ejecuta el archivo MASYANYA.EXE, el gusano se copia a si mismo como
MSYS32.EXE, en el directorio System de Windows:
C:\Windows\System\MSYS32.EXE
También crea los siguientes archivos en el directorio actual (donde se ejecutó el gusano principal,
MASYANYA.EXE):
ERunAsX.dll
ERunAsX.exe
Eexplorer.exe
El último es una copia del gusano.
ERunAsX.exe es un driver de línea de comando que utiliza el exploit
DebPloit para ejecutar la copia del virus (Eexplorer.exe) con los mismos derechos del administrador del sistema.
El gusano también utiliza este exploit y el comando NET para intentar agregar el usuario
"masyanechkaa", en el grupo local del administrador. Debido a un error en su código, el gusano falla en esta acción.
Para su ejecución bajo Windows, el gusano realiza las siguientes modificaciones a los archivos del sistema:
En Windows 9x/ME, se modifica la entrada shell del archivo SYSTEM.INI:
[boot]
shell=Explorer.exe msys32.exe –dontrunold
En Windows 2K/NT, el gusano modifica esta clave del registro:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
shell = "Explorer.exe msys32.exe -dontrunold"
Para propagarse vía e-mail, el gusano busca archivos
HTM*. Para ello examina todos los archivos del duro que cumplan esa condición, y saca de allí todas las direcciones de correo electrónico que encuentre. Utiliza para el envío, las funciones MAPI (Messaging Application Programming Interface) instaladas en la máquina infectada.
También utiliza estas funciones para leer y responder (con un mensaje infectado) los mensajes no leídos aún del usuario infectado.
El mensaje que el gusano envía, es similar al que pudimos recibir nosotros.
Asunto: Masyanya!
Texto:
Hi, here is a new film about Masyanya and V.V.Putin!!!
Homepage: http://mult.ru
Datos adjuntos: Masyanya.exe
En ocasiones, Asunto y Texto pueden aparecer en ruso.
También se modifica el registro para impedir la advertencia de envío de correo:
HKCU\Identities\{...Identificador...}\Software
\Microsoft\Outlook Express\5.0\Mail
Warn on Mapi Send = dword:0000000
Crea la siguiente entrada en el registro, la que utiliza como indicador de infección:
HKEY_CURRENT_USER\Environment
ID = 1
En cada ejecución, el gusano también envía un mensaje infectado a la dirección
"masyana@nm.ru":
Asunto: Masyanya!
Texto: gygygy!
Datos adjuntos: Masyanya.exe
Cada día lunes, el gusano inicia un ataque de negación de servicios (DOS) al sitio Web
kavkaz.org.
El gusano contiene el siguiente texto en su código:
I-Worm.Masyanya v1.0 8) Just a hello-world worm...
Limpieza manual de un sistema infectado
Bajo Windows NT/2K:
1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter
2. Seleccione la siguiente entrada en el panel de la izquierda:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
3. Haga doble clic sobre la carpeta "Winlogon", y en el panel de la derecha haga clic sobre la entrada
"shell", "Explorer.exe msys32.exe
-dontrunold" y pulse la tecla SUPR o DEL para borrar dicha entrada.
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora
En Windows 9x/Me:
1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
2. Busque lo siguiente:
[boot]
shell=Explorer.exe msys32.exe –dontrunold
Borre "msys32.exe –dontrunold" y deje la entrada de este modo:
[boot]
shell=Explorer.exe
3. Grabe los cambios y salga del bloc de notas
4. Reinicie su computadora
En todos los casos, ejecute uno o dos antivirus para escanear todo su sistema.
Para habilitar la opción del Outlook Express que advierte de un envío, siga estos pasos:
1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter
2. Seleccione la siguiente entrada en el panel de la izquierda:
HKEY_CURRENT_USER
\Identities
\{...Identificador...}
\Software
\Microsoft
\Outlook Express
\5.0
\Mail
3. Pinche en la carpeta "Mail" y en el panel de la derecha sobre la entrada
"Warn on Mapi Send" si existe y bórrela.
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
Glosario:
D.o.S - Un ataque de D.o.S (Denial of Service, o denegación de servicio), hace que los servidores o cualquier computadora conectada a Internet, reciban una sucesión de solicitudes de servicio, con tal frecuencia y cantidad, que al no poder ser respondidas van disminuyendo paulatinamente su rendimiento, ocasionando casi siempre la caída del sistema, además de la saturación del ancho de banda asignado.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|