Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Masana.A (W32/Masy). El adjunto es MASYANYA.EXE
 
VSantivirus No. 669 - Año 6 - Martes 7 de mayo de 2002

W32/Masana.A (W32/Masy). El adjunto es MASYANYA.EXE
http://www.vsantivirus.com/masana-a.htm

Nombre: W32/Masana.A
Tipo: Gusano de Internet
Alias: WORM_MASANA.A, I-Worm Masana, MASANA.A, W32.Masy.Worm
Fecha: 6/may/02
Plataformas: Windows 9x, Me, NT, 2K, XP
Tamaño: 107,520 bytes (comprimido con Aspack)
Fuente: Kaspersky, Trend

Un mensaje con el asunto "Masyanya!" y un adjunto llamado MASYANYA.EXE (un ejecutable en formato PE, escrito en Delphi), es el que transporta este gusano de Internet, capaz de propagarse a través de cualquier cliente de correo que soporte las funciones MAPI, y que esté instalado en la máquina infectada.

El gusano se activa solamente si el usuario hace doble clic sobre dicho adjunto.

Si se ejecuta bajo Windows NT, el gusano hace uso de un exploit conocido como DebPloit, para ejecutarse con los privilegios del administrador del sistema. También intentará agregar un falso usuario ("masyanechkaa") en la cuenta local del administrador, cómo veremos más adelante.

Cuando el usuario ejecuta el archivo MASYANYA.EXE, el gusano se copia a si mismo como MSYS32.EXE, en el directorio System de Windows:

C:\Windows\System\MSYS32.EXE

También crea los siguientes archivos en el directorio actual (donde se ejecutó el gusano principal, MASYANYA.EXE):

ERunAsX.dll
ERunAsX.exe
Eexplorer.exe

El último es una copia del gusano.

ERunAsX.exe es un driver de línea de comando que utiliza el exploit DebPloit para ejecutar la copia del virus (Eexplorer.exe) con los mismos derechos del administrador del sistema.

El gusano también utiliza este exploit y el comando NET para intentar agregar el usuario "masyanechkaa", en el grupo local del administrador. Debido a un error en su código, el gusano falla en esta acción.

Para su ejecución bajo Windows, el gusano realiza las siguientes modificaciones a los archivos del sistema:

En Windows 9x/ME, se modifica la entrada shell del archivo SYSTEM.INI:

[boot]
shell=Explorer.exe msys32.exe –dontrunold

En Windows 2K/NT, el gusano modifica esta clave del registro:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
shell = "Explorer.exe msys32.exe -dontrunold"

Para propagarse vía e-mail, el gusano busca archivos HTM*. Para ello examina todos los archivos del duro que cumplan esa condición, y saca de allí todas las direcciones de correo electrónico que encuentre. Utiliza para el envío, las funciones MAPI (Messaging Application Programming Interface) instaladas en la máquina infectada.

También utiliza estas funciones para leer y responder (con un mensaje infectado) los mensajes no leídos aún del usuario infectado.

El mensaje que el gusano envía, es similar al que pudimos recibir nosotros.

Asunto: Masyanya!

Texto:
Hi, here is a new film about Masyanya and V.V.Putin!!!
Homepage: http://mult.ru

Datos adjuntos: Masyanya.exe

En ocasiones, Asunto y Texto pueden aparecer en ruso.

También se modifica el registro para impedir la advertencia de envío de correo:

HKCU\Identities\{...Identificador...}\Software
\Microsoft\Outlook Express\5.0\Mail
Warn on Mapi Send = dword:0000000

Crea la siguiente entrada en el registro, la que utiliza como indicador de infección:

HKEY_CURRENT_USER\Environment
ID = 1

En cada ejecución, el gusano también envía un mensaje infectado a la dirección "masyana@nm.ru":

Asunto: Masyanya!
Texto: gygygy!
Datos adjuntos: Masyanya.exe

Cada día lunes, el gusano inicia un ataque de negación de servicios (DOS) al sitio Web kavkaz.org.

El gusano contiene el siguiente texto en su código:

I-Worm.Masyanya v1.0 8) Just a hello-world worm...

Limpieza manual de un sistema infectado


Bajo Windows NT/2K:

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter

2. Seleccione la siguiente entrada en el panel de la izquierda:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

3. Haga doble clic sobre la carpeta "Winlogon", y en el panel de la derecha haga clic sobre la entrada "shell", "Explorer.exe msys32.exe -dontrunold" y pulse la tecla SUPR o DEL para borrar dicha entrada.

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora


En Windows 9x/Me:

1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

2. Busque lo siguiente:

[boot]
shell=Explorer.exe msys32.exe –dontrunold

Borre "msys32.exe –dontrunold" y deje la entrada de este modo:

[boot]
shell=Explorer.exe

3. Grabe los cambios y salga del bloc de notas

4. Reinicie su computadora

En todos los casos, ejecute uno o dos antivirus para escanear todo su sistema.

Para habilitar la opción del Outlook Express que advierte de un envío, siga estos pasos:

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter

2. Seleccione la siguiente entrada en el panel de la izquierda:

HKEY_CURRENT_USER
\Identities
\{...Identificador...}
\Software
\Microsoft
\Outlook Express
\5.0
\Mail

3. Pinche en la carpeta "Mail" y en el panel de la derecha sobre la entrada "Warn on Mapi Send" si existe y bórrela.

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.


Glosario:

D.o.S - Un ataque de D.o.S (Denial of Service, o denegación de servicio), hace que los servidores o cualquier computadora conectada a Internet, reciban una sucesión de solicitudes de servicio, con tal frecuencia y cantidad, que al no poder ser respondidas van disminuyendo paulatinamente su rendimiento, ocasionando casi siempre la caída del sistema, además de la saturación del ancho de banda asignado.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS