ウイルス情報

ウイルス名 危険度

W32/Maslan.c@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4412
対応定義ファイル
(現在必要とされるバージョン)
4412 (現在7634)
対応エンジン 4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
別名 Backdoor.Win32.SdBot.ts (AVP, dropped bot) Net-Worm.Win32.Maslan.b (AVP) PE_MASLAN.C (Trend) W32.Maslan.C@mm (Symantec) W32/Maslan-C (Sophos) W32/Sdbot-RW (Sophos, dropped bot) Win32.HLLM.Alaxala (Dialogue Science)
情報掲載日 2004/12/10
発見日(米国日付) 2004/12/08
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Maslan.c@MMは、ターゲットに自身を大量送信し、セキュリティが不十分な共有や修正プログラムが適用されていないシステムを利用してマシンに拡散して、繁殖します。特徴は以下のとおりです。

  • 自身のSMTPエンジンを使用してメッセージを作成します。
  • ターゲットマシンから電子メールアドレスを収集します。
  • 送信メッセージの差出人のアドレスを偽装します。
  • セキュリティが不十分な共有が存在するマシンに自身をコピーできます。
  • LsassまたはDcomRPCの脆弱性を利用して、修正プログラムが適用されていないマシンに繁殖できます。
  • ターゲットマシンにIRC botをドロップ(作成)します(このIRC botは、ターゲットマシン上で、さまざまなウイルス対策/セキュリティアプリケーションのプロセスの終了を含む重大な機能を持つバックドアとして機能します)。
  • 金融機関のサイトに関連するデータを収集するため、Internet Explorerのセッションを監視します。
  • ターゲットマシンでの自身の存在を隠します。
  • コンパニオンウイルス型の感染ルーチンを真似ています(テストでは確認されませんでした)。
電子メールを介した繁殖

・W32/Maslan.c@MMはターゲットマシンのファイルから電子メールアドレスを収集します。具体的には、以下の拡張子を持つファイルを検索します。

  • xml
  • xls
  • wsh
  • mmf
  • mht
  • mdx
  • mbx
  • jsp
  • htm
  • eml
  • dhtm
  • dbx
  • cgi
  • cfg
  • asp
  • adb
  • wab
  • uin
  • txt
  • tbb
  • stm
  • shtm
  • sht
  • pl
  • php
  • oft
  • ods
  • nch
  • msg

・送信メッセージのフォーマットは以下のとおりです。

差出人:差出人のアドレスを偽装します。

件名: 12345

本文:本文は、テンプレートにウイルス本体に格納されているさまざまな名前を挿入して、作成されます。

Hello (名前1),

--

Best regards,
(%name%) mailto:(%email%)

ただし、

%name% = 擬装した差出人のアドレスの名前
%email% = 擬装した差出人の電子メールアドレス

添付ファイル:以下のファイル名を持つW32/Maslan.c@MMのコピー

  • PLAYGIRLS_2.EXE

・ただし、以下の文字列を含む電子メールアドレスには自身を送信しません。

  • mozilla
  • utgers.ed
  • tanford.e
  • pgp
  • acketst
  • secur
  • isc.o
  • isi.e
  • ripe.
  • arin.
  • sendmail
  • rfc-ed
  • ietf
  • iana
  • usenet
  • fido
  • linux
  • kernel
  • google
  • ibm.com
  • fsf.
  • gnu
  • mit.e
  • bsd
  • math
  • unix
  • berkeley
  • foo.
  • mysqlruslis
  • nodomai
  • mydomai
  • example
  • inpris
  • borlan
  • sopho
  • panda
  • syma
  • avp
  • abuse
  • www
  • spam
  • spm
  • test
  • page
  • the.bat
  • gold-certs
  • ca
  • feste
  • submit
  • not
  • help
  • service
  • privacy
  • somebody
  • no
  • soft
  • contact
  • site
  • rating
  • bugs
  • me
  • you
  • your
  • someone
  • anyone
  • nothing
  • nobody
  • noone
  • webmaster
  • postmaster
  • samples
  • info
  • root
  • mail.com
  • freemail.com
  • hotmail.com
  • yahoo.com
  • msn.com
  • aol.com
  • subscribe
  • accoun
  • certific
  • listserv
  • ntivi
  • admin
ネットワークを介した繁殖

・W32/Maslan.c@MMは、LsassおよびDcomRPCの脆弱性を持つマシンを利用して、繁殖します。また、セキュリティが不十分な(パスワードが脆弱な)共有が存在するマシンにも繁殖します。

自身の存在の隠蔽

・W32/Maslan.c@MMは、ターゲットマシンでの自身の存在を隠すため、ルートキットという方法を使用します。「___」で始まるファイルやプロセスはユーザには表示されません。

ブラウザの監視

・W32/Maslan.c@MMはウィンドウのタイトルが以下の文字列を含むブラウザのセッションを監視します。

  • paypal
  • trade
  • bank
  • mail
  • e-gold
  • e-bullion
  • evocash

・このとき、そのウィンドウへのキー入力が記録されます。記録されたデータは(HTTPを介して)ハッカーに返送されます。

コンパニオンウイルス型の感染

・W32/Maslan.c@MMを分析したところ、ターゲットマシン上の一部のファイル、特にファイル名に以下の文字列を含むファイルでコンパニオンウイルス型の感染を行おうとしていると思われます。

  • download
  • distr
  • setup
  • share

・感染すると、元のファイルのコピーがサブディレクトリ(「___b」)に作成され、元のファイルがW32/Maslan.c@MMのコピー(元のファイルのファイルサイズを維持するため、00を付加)に置き換えられます。なお、このウイルス情報の作成時のテストでは、このような感染は確認されませんでした。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記の内容と一致する送信メッセージが存在します。
  • 予期しないTCPポート7000へのIRCトラフィックが発生します(多くのIRC botがこれと同じ症状を引き起こします)。
  • 上記のレジストリキーが存在します。

TOPへ戻る

感染方法

・W32/Maslan.c@MMのメインの実行ファイルが別のバイナリファイルをドロップ(作成)し、そのバイナリファイルがさらに他のファイルをドロップ(作成)します。W32/Maslan.c@MMが実行されると、以下のファイルがターゲットマシンにドロップ(作成)されます。

  • %SysDir%\___R.EXE (49,445バイト) - W32/Maslan.c@MM
  • %SysDir%\___N.EXE (15,872バイト) - ドロップ(作成)されたIRC bot (W32/Maslan!irc)
  • %SysDir%\___J.DLL (21,504バイト) - W32/Maslan.dll.gen

・W32/Maslan.c@MMはドロップ(作成)したIRC botを実行し(IRC botはさらに自身をインストールします - 下記参照)、ドロップ(作成)されたDLLをロード(SVCHOST.EXEに挿入)します。

・収集した電子メールアドレスなど、さまざまなデータを格納するため、以下のファイルを作成(して削除)します。

  • %SysDir%\AlaFtp
  • %SysDir%\AlaDdos
  • %SysDir%\AlaScan
  • %SysDir%\AlaMail

・Windowsの起動時にW32/Maslan.c@MMが動作するよう、以下のレジストリキーが追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run "Microsoft Windows DHCP" = %SysDir%\___r.exe

IRC botのインストール

・W32/Maslan.c@MMによってドロップ(作成)され、実行されるIRC botはW32/Sdbot.wormの最近の亜種と非常によく似ています。

・このIRC botは___SYNMGR.EXEというファイル名でWindowsのシステムディレクトリに自身をインストールします。

  • %SysDir%\___SYNMGR.EXE

・以下のレジストリキーが追加されてシステム起動時にフックされます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Run "Microsoft Synchronization Manager" = %SysDir%\___synmgr.exe リ
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run "Microsoft Synchronization Manager" = %SysDir%\___synmgr.exe リ
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \RunServices "Microsoft Synchronization Manager" = %SysDir%\___synmgr.exe リ

・IRC botはリモートIRCサーバ(TCPポート7000)に接続し、リモートコマンドの受信を待機します。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足

TOPへ戻る