・W32/Coronex.wormは大量メール送信型ワームです。電子メールで繁殖するだけで、破壊的な発病ルーチンはありません。Windowsのアドレス帳にあるすべてのアドレスに自身を送信します。
注意:
W32/Coronex.wormは定義ファイル4260以降ではW32/Coronex.worm.genとして検出されます。
・W32/Coronex.worm.bは、以下のような電子メールメッセージの添付ファイルで届きます。
送信者: virus@nai.com
件名:virus
本文:virus
添付ファイル: virus.exe
または
送信者: virus@symantec.com
件名:virus
本文:virus
添付ファイル:virus.exe
または
送信者: virus@antivirus.com
件名:virus
本文:virus
添付ファイル:virus.exe
または
送信者: virus@mcafee
件名:virus
本文:virus
添付ファイル:virus.exe
または
送信者: virus@avp.ru
件名:virus
本文:virus
添付ファイル:virus.exe
または
送信者: virus@rav.com
件名:virus
本文:virus
添付ファイル:virus.exe
または
送信者: virus@drweb.com
件名:virus
本文:virus
添付ファイル:virus.exe
・添付ファイルが実行されると、以下の発病ルーチンを実行します。
- %WINDIR%ディレクトリに自身のコピーをドロップ(作成)する。
- 以下のメッセージボックスを表示する。
- 以下のレジストリキーを作成して、起動時に自身を実行する。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"PC-Config32" = C:\%WINDIR%\virus.exe -A
- ブラウザのデフォルトのホームページを変更する。
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Start Page" = http://www.bitdefender.com
- C:\My Downloadsフォルダを検索し、以下のリストからランダムに選択したファイル名で自身のコピーをドロップ(作成)する。
- Cossacks Full Version.exe
- Cossacks Full Version.exe
- Battlefield 1942 (full).exe
- Warcraft III Full.exe
- Jedi Knight II.exe
- Quake 3 Full Version.exe
- Starcraft full.exe
- Doom 3.exe
- Tribes 2 (full).exe
- Rainbow 6 Full.exe
- Oni full.exe
- White and Black.exe
- Return to Castle Wolfenstien (Full).exe
- Command & Conquer: Generals.exe
- Black HawkDown (full).exe
- The Sims: Unleashed.exe
- Age Of Mythology.exe
- Dark Age of Camelot.exe
- Ultima Online.exe
- The Lord of the Rings.exe
- Medel of Honor: Allied Assualt.exe
- Grand Theft Auto 3 (full).exe
- Unreal 2: The Awakening (full).exe
- Unreal.exe
- Master Of Orion.exe
注:ワームのコピーの末尾にはゴミデータが追加されるので、ファイルサイズはそれぞれ異なります。また、同じディレクトリに0バイトのファイルを落とし込みます。
- Windowsのアドレス帳にあるアドレスに自身を送信する。自身のSMTPエンジンを使用して、上記の電子メールメッセージを作成する。
