製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Maslan.c@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)		4412
対応定義ファイル
(現在必要とされるバージョン)		4412 (現在7109)
対応エンジン4.3.20以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名Backdoor.Win32.SdBot.ts (AVP, dropped bot) Net-Worm.Win32.Maslan.b (AVP) PE_MASLAN.C (Trend) W32.Maslan.C@mm (Symantec) W32/Maslan-C (Sophos) W32/Sdbot-RW (Sophos, dropped bot) Win32.HLLM.Alaxala (Dialogue Science)
情報掲載日2004/12/10
発見日(米国日付)2004/12/08
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
06/18RDN/Generic....
06/18VBS/LoveLett...
06/18RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7109
 エンジン:5.4.00
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Maslan.c@MMは、ターゲットに自身を大量送信し、セキュリティが不十分な共有や修正プログラムが適用されていないシステムを利用してマシンに拡散して、繁殖します。特徴は以下のとおりです。

  • 自身のSMTPエンジンを使用してメッセージを作成します。
  • ターゲットマシンから電子メールアドレスを収集します。
  • 送信メッセージの差出人のアドレスを偽装します。
  • セキュリティが不十分な共有が存在するマシンに自身をコピーできます。
  • LsassまたはDcomRPCの脆弱性を利用して、修正プログラムが適用されていないマシンに繁殖できます。
  • ターゲットマシンにIRC botをドロップ(作成)します(このIRC botは、ターゲットマシン上で、さまざまなウイルス対策/セキュリティアプリケーションのプロセスの終了を含む重大な機能を持つバックドアとして機能します)。
  • 金融機関のサイトに関連するデータを収集するため、Internet Explorerのセッションを監視します。
  • ターゲットマシンでの自身の存在を隠します。
  • コンパニオンウイルス型の感染ルーチンを真似ています(テストでは確認されませんでした)。
電子メールを介した繁殖

・W32/Maslan.c@MMはターゲットマシンのファイルから電子メールアドレスを収集します。具体的には、以下の拡張子を持つファイルを検索します。

  • xml
  • xls
  • wsh
  • mmf
  • mht
  • mdx
  • mbx
  • jsp
  • htm
  • eml
  • dhtm
  • dbx
  • cgi
  • cfg
  • asp
  • adb
  • wab
  • uin
  • txt
  • tbb
  • stm
  • shtm
  • sht
  • pl
  • php
  • oft
  • ods
  • nch
  • msg

・送信メッセージのフォーマットは以下のとおりです。

差出人:差出人のアドレスを偽装します。

件名: 12345

本文:本文は、テンプレートにウイルス本体に格納されているさまざまな名前を挿入して、作成されます。

Hello (名前1),

--

Best regards,
(%name%) mailto:(%email%)

ただし、

%name% = 擬装した差出人のアドレスの名前
%email% = 擬装した差出人の電子メールアドレス

添付ファイル:以下のファイル名を持つW32/Maslan.c@MMのコピー

  • PLAYGIRLS_2.EXE

・ただし、以下の文字列を含む電子メールアドレスには自身を送信しません。

  • mozilla
  • utgers.ed
  • tanford.e
  • pgp
  • acketst
  • secur
  • isc.o
  • isi.e
  • ripe.
  • arin.
  • sendmail
  • rfc-ed
  • ietf
  • iana
  • usenet
  • fido
  • linux
  • kernel
  • google
  • ibm.com
  • fsf.
  • gnu
  • mit.e
  • bsd
  • math
  • unix
  • berkeley
  • foo.
  • mysqlruslis
  • nodomai
  • mydomai
  • example
  • inpris
  • borlan
  • sopho
  • panda
  • syma
  • avp
  • abuse
  • www
  • spam
  • spm
  • test
  • page
  • the.bat
  • gold-certs
  • ca
  • feste
  • submit
  • not
  • help
  • service
  • privacy
  • somebody
  • no
  • soft
  • contact
  • site
  • rating
  • bugs
  • me
  • you
  • your
  • someone
  • anyone
  • nothing
  • nobody
  • noone
  • webmaster
  • postmaster
  • samples
  • info
  • root
  • mail.com
  • freemail.com
  • hotmail.com
  • yahoo.com
  • msn.com
  • aol.com
  • subscribe
  • accoun
  • certific
  • listserv
  • ntivi
  • admin
ネットワークを介した繁殖

・W32/Maslan.c@MMは、LsassおよびDcomRPCの脆弱性を持つマシンを利用して、繁殖します。また、セキュリティが不十分な(パスワードが脆弱な)共有が存在するマシンにも繁殖します。

自身の存在の隠蔽

・W32/Maslan.c@MMは、ターゲットマシンでの自身の存在を隠すため、ルートキットという方法を使用します。「___」で始まるファイルやプロセスはユーザには表示されません。

ブラウザの監視

・W32/Maslan.c@MMはウィンドウのタイトルが以下の文字列を含むブラウザのセッションを監視します。

  • paypal
  • trade
  • bank
  • mail
  • e-gold
  • e-bullion
  • evocash

・このとき、そのウィンドウへのキー入力が記録されます。記録されたデータは(HTTPを介して)ハッカーに返送されます。

コンパニオンウイルス型の感染

・W32/Maslan.c@MMを分析したところ、ターゲットマシン上の一部のファイル、特にファイル名に以下の文字列を含むファイルでコンパニオンウイルス型の感染を行おうとしていると思われます。

  • download
  • distr
  • setup
  • share

・感染すると、元のファイルのコピーがサブディレクトリ(「___b」)に作成され、元のファイルがW32/Maslan.c@MMのコピー(元のファイルのファイルサイズを維持するため、00を付加)に置き換えられます。なお、このウイルス情報の作成時のテストでは、このような感染は確認されませんでした。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記の内容と一致する送信メッセージが存在します。
  • 予期しないTCPポート7000へのIRCトラフィックが発生します(多くのIRC botがこれと同じ症状を引き起こします)。
  • 上記のレジストリキーが存在します。

感染方法TOPへ戻る

・W32/Maslan.c@MMのメインの実行ファイルが別のバイナリファイルをドロップ(作成)し、そのバイナリファイルがさらに他のファイルをドロップ(作成)します。W32/Maslan.c@MMが実行されると、以下のファイルがターゲットマシンにドロップ(作成)されます。

  • %SysDir%\___R.EXE (49,445バイト) - W32/Maslan.c@MM
  • %SysDir%\___N.EXE (15,872バイト) - ドロップ(作成)されたIRC bot (W32/Maslan!irc)
  • %SysDir%\___J.DLL (21,504バイト) - W32/Maslan.dll.gen

・W32/Maslan.c@MMはドロップ(作成)したIRC botを実行し(IRC botはさらに自身をインストールします - 下記参照)、ドロップ(作成)されたDLLをロード(SVCHOST.EXEに挿入)します。

・収集した電子メールアドレスなど、さまざまなデータを格納するため、以下のファイルを作成(して削除)します。

  • %SysDir%\AlaFtp
  • %SysDir%\AlaDdos
  • %SysDir%\AlaScan
  • %SysDir%\AlaMail

・Windowsの起動時にW32/Maslan.c@MMが動作するよう、以下のレジストリキーが追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run "Microsoft Windows DHCP" = %SysDir%\___r.exe

IRC botのインストール

・W32/Maslan.c@MMによってドロップ(作成)され、実行されるIRC botはW32/Sdbot.wormの最近の亜種と非常によく似ています。

・このIRC botは___SYNMGR.EXEというファイル名でWindowsのシステムディレクトリに自身をインストールします。

  • %SysDir%\___SYNMGR.EXE

・以下のレジストリキーが追加されてシステム起動時にフックされます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Run "Microsoft Synchronization Manager" = %SysDir%\___synmgr.exe リ
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run "Microsoft Synchronization Manager" = %SysDir%\___synmgr.exe リ
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \RunServices "Microsoft Synchronization Manager" = %SysDir%\___synmgr.exe リ

・IRC botはリモートIRCサーバ(TCPポート7000)に接続し、リモートコマンドの受信を待機します。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足