| ■ |
W32/Klez.h@MMは、Microsoft
Internet Explorer(5.01または5.5 SP2未満の場合)のセキュリティーホールを利用して感染します。 |
| |
| ■ |
このウイルスは、以下の文字列を含むプロセス(アプリケーションの動作)を終了させます。 |
| |
|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\TaskBar=C:\Windows\Taskbar.exe
Internet Account ManagerからSMTPサーバー、SMTPメールアドレス、SMTP表示名を収集します。
HKEY_CURRENT_USER\Software\Microsoft\Internet Account
Manager\Accounts\00000001
この情報は、ウイルスが繁殖パターンを実行するために利用されます。 |
| |
| ■ |
このウイルスは、Inetnet Explorerを利用して、以下のWebサイトにアクセスを試みます。 |
| |
|
_AVP32
_AVPCC
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NAV
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
_AVPM
ALERTSVC
AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVWNT
ANTIVIR
AVPUPD
AVGCTRL
AVWIN95
SCAN32
VSHWIN32
F-STOPW
F-PROT95
ACKWIN32
VETTRAY
VET95
SWEEP95
PCCWIN98
IOMON98
AVPTC
AVE32
AVCONSOL
FP-WIN
DVP95
F-AGNT95
CLAW95
NVC95
SCAN
VIRUS
LOCKDOWN2000
Norton
Mcafee
Antivir |
| |
| ■ |
このウイルスは、共有ネットワークに自分自身のコピーをする(アクセス権を持っている場合)ことでネットワーク中に繁殖します。感染のターゲットとなるファイル名はランダムに選ばれ、1つまたは2つの拡張子を持ちます。以下はその例です。
|
| |
|
350.bak.scr
bootlog.jpg
user.xls.exe |
| |
| ■ |
RAR archivesにも自分自身をコピーします。以下はその例です。 |
| |
|
HREF.mpeg.rar
HREF.txt.rar
lmbtt.pas.rar |
| |
| ■ |
このウイルスは、Windowsアドレス帳の宛先と、感染マシンのファイルの中から抽出したアドレスにメールを送信します。それによって届くメールの件名と本文はウイルスの中にある文字列から構成されます。(このウイルスは感染したPCから得られた文字列を加えることもできます)以下はその例です。 |
| |
|
件名:
A very funny website
Undeliverable mail--
Returned mail--
A WinXP patch
A IE 6.0 patch
W32.Elkern removal tools
W32.Klez.E removal tools |
| |
| ■ |
添付ファイル名もランダムにつけられます。これは.exe、
.scr、 .pif、 .batなどの拡張子で終わります。以下はその例です。 |
| |
|
ALIGN.pif
User.bat
line.bat |
| |
| ■ |
このウイルスは、感染ファイルに加え、感染していない文書を送信する場合があります。感染したPCのハードディスク内にある、下記の拡張子を持つ文書が送信されます。
|
| |
|
.txt
.htm
.html
.wab
.asp
.doc
.rtf
.xls
.jpg
.cpp
.c
.pas
.mpg
.mpeg
.bak
.mp3
.pdf |
