■ |
このウイルスは、eメールメッセージの添付ファイルとして送られてきます。送信者のアドレスは偽造されます。eメールの本文、件名、添付ファイル名はさまざまです。添付ファイルには、標準的な実行ファイルの拡張子 .com、.exe、.pif、および.scrが使用されます。 |
|
|
送信されるeメールメッセージの例:
件名: why? 本文:The peace 添付ファイル:desktop.scr
件名:Re: You might not appreciate this... 本文:lautlach 添付ファイル:service.scr
件名:Re: how are you? 本文:I sent this program (Sparky) from anonymous places on the net 添付ファイル:Jesse20.exe
件名:Fwd: Mariss995 本文:There is only one good, knowledge, and one evil, ignorance. 添付ファイル:Mariss995.exe
件名:Re: The way I feel - Remy Shand 本文:Nein
添付ファイル:Jordan6.pif |
|
■ |
添付ファイルを実行すると、WINDOWS
(%WinDir%)ディレクトリに以下の複数のファイルが作成されます。 |
|
|
initbak.dat iservc.exe ProgOp.exe iservc.dll
|
|
■ |
このウイルスは、以下のレジストリ実行キーを作成して、システムの起動時にウイルスのコピーを読み込みます。 |
|
|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run "SystemInit" = C:\WINDOWS\ISERVC.EXE
また、レジストリを改変して、拡張子が .TXTファイルにアクセスするとワームを実行するようにします。
HKEY_CLASSES_ROOT\txtfile\shell\open\command
"(デフォルト)" = C:\WINDOWS\ProgOp.exe 0 7 'C:\WINDOWS\NOTEPAD.EXE %1'
'C:\WINDOWS\initbak.dat' 'C:\WINDOWS\ISERVC.EXE'
この改変に関連して、以下の新しいCLASS ROOT(クラスルート)キーを作成します。
HKEY_CLASSES_ROOT\Applications\ProgOp.exe
|
|
■ |
大量メール送信 |
|
|
パソコン内のアドレス帳に登録されているすべてのeメールアドレス、およびランダムに作成したeメールアドレス宛てにウイルスのコピーを送信します。また、ランダムな名前や数字に以下のドメイン名を組み合わせてウイルスのコピーを送信します。
ドメイン名: aol.com
earthlink.com
gte.net
hotmail.com
juno.com
msn.com
netzero.com
yahoo.com
|
|
■ |
IRC(Internet Relay Chat )接続 |
|
|
このワームは、以下のさまざまなIRCサーバーにpingを実行します。返信を受け取ると、内部のリストにある、さまざまなユーザー名でIRCチャネルに接続します。
irc2p2pchat.net
irc.idigital-web.com
irc.cyberchat.org
irc.othernet.org
irc.beyondirc.net
irc.chatx.net
irc.cyberarmy.com
irc.gameslink.net
|
|
■ |
AIMボット(AOL Instant Messenger) |
|
|
このワームはAIMサイトに接続し、ランダムに選択した名前で新規ユーザー登録を行ないます。それからポート5190のAIMチャットサーバーに接続し、さらにメッセージを待ち受けます。
|
|
■ |
自動アップデート |
|
|
"geocities"内の任意のWebサイトに接続して、ウイルスのダウンロードアップデートを実行することができます。
|
|
■ |
キーストロークの記録 |
|
|
キーストロークをキャプチャし、%windir%フォルダ内の「iservc.klg」という名前の暗号化ファイルに保存します。
|
|
■ |
KaZaaワーム |
|
|
レジストリからKaZaa用のデフォルトのダウンロードフォルダを読み込み、ランダムに選択した名前でウイルスをコピーします。
|
|
■ |
HTTPサーバー |
|
|
設定済みのポート上のHTTPサーバーで起動します。このwebサーバーはコマンドコンソールとして作動し、感染システムの情報(システム時間、接続情報、OSバージョン、IRC、AIM情報)を表示します。また、攻撃者に対して、サービス拒否攻撃やAOL検索コマンド、ウイルス対策ソフトの終了といった処理を実行することを許可します。
|
|
■ |
リモートアクセスサーバー |
|
|
設定済みTCPポートを聴取し、リモートコンソールを作成します。
|
|
■ |
ウイルス対策ソフトの終了 |
|
|
名前に以下の文字列が含まれるプロセスを終了します。 ANTIV
AVP
F-PROT
NMAIN
SCAN
TASKM
VIRUS
VSHW
VSS
|