・W32/CHowl@MMは大量メール送信型ワームで、Visual Basicで作成されています。ヒューリスティックスキャンを実行すると、“New P2P Worm”として検出されます。
・W32/CHowl@MMが実行されると、Windows systemディレクトリに以下のファイル名で自身のコピーを作成します。
CyberWolf.exe
explorer.exe
Kernell32.exe
Ms-Dos.com
regedit32.exe
service.exe
system.exe
system32.exe
systems.exe
Windows.scr
・特定のピアツーピア共有ネットワークがインストールされているかを検索して、以下の共有フォルダに自身のコピーを大量に作成します。
KaZaa\My shared Folder\
Bearshare\Shared\
Grokster\My Grokster\
Morpheus\My Shared Folder\
eDonkey2000\Incoming\
limewire\Shared\
・また、Windows systemディレクトリにランダムなファイル名(例:Ad25lzg25de25r2322.dsi、Ad28lzg28de28r2841.exe)で自身のコピーを大量に作成します。
・以下のレジストリキーを作成して、Windows起動時に自身を実行します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"CyberWolf"="C:\WINDOWS\CyberWolf.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"dllhost"="C:\WINDOWS\SYSTEM\dllhost.exe "
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Windows Installer Service"="C:\WINDOWS\SYSTEM\msiexec.exe "
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Windows Kernell"="C:\WINDOWS\SYSTEM\Kernell32.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Windows Systems Service"="C:\WINDOWS\SYSTEM\service.exe "
・次のレジストリキーを改変して、exeファイルの実行をフックします。
HKEY_CLASSES_ROOT\exefile\shell\open\command
(Default) = "C:\WINDOWS\CyberWolf.exe%1 %* "
・次の偽のエラーメッセージを表示します。
・“OK”ボタンをクリックすると、Outlookのグローバルアドレスリストおよびコンタクトリストにあるすべての電子メールアドレスに、以下のような電子メールで自身を送信します。
件名:以下のいずれか
w32/CyberWolf@mm is the newest virus...
PacketStorm:WINDOWS Xp has several exploits
A Virtual joke...the funniest around!
A kiss from me to you
添付ファイル:
CyberWolf-Patch.exe.
Windows Xp Exploit.exe
The CyberWolf-Joke.scr
My Kiss for you.scr
・電子メールの本文は、件名によって異なります。
・W32/CHowl@MMは、Windowsからさまざまなウイルススキャン処理にクエリして、これらの処理を終了させようとします。またテキストファイルを作成し、デスクトップにこのファイルへのリンクを置きます。このテキストファイルは、ウイルス作成者のメッセージを含んでいます。
・メモリで多数のワームのインスタンスを起動し、最終的にオペレーションシステムをクラッシュさせます。
