・W32/Coronex.worm.genは大量メール送信型ワームです。電子メールで繁殖するだけで、破壊的な発病ルーチンはありません。Windowsのアドレス帳にあるすべてのアドレスに自身を送信します。
・W32/Coronex.worm.genは、以下のような電子メールメッセージの添付ファイルで届きます。
送信者:sars@hotmail.com
件名:SARS
本文:Severe Acute Respiratory Syndrome
添付ファイル:Sars.exe
または
送信者:sars2@hotmail.com
件名:I need your help
本文:Severe Acute Respiratory Syndrome
添付ファイル:Corona.exe
または
送信者:corona@hotmail.com
件名:Virus Alert!
本文:SARS Virus
添付ファイル:Virus.exe
または
送信者:virus@yahoo.com
件名:Corona Virus
本文:honk kong
添付ファイル:Hongkong.exe
または
送信者:deaths@china.com
件名:bye
本文:deaths virus
添付ファイル:Deaths.exe
または
送信者:virus@china.com
件名:SARS
本文:SEE Ya
添付ファイル:Sars2.exe
または
送信者:Virus2@china.com
件名:SARS Virus
本文:SARS Corona Virus
添付ファイル:Cv.exe
・添付ファイルが実行されると、以下の発病ルーチンを実行します。
- %WINDIR%ディレクトリに自身のコピーをドロップ(作成)する。
- 以下のメッセージボックスを表示する。
- 以下のレジストリキーを作成して、起動時に自身を実行する。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"PC-Config32" = C:\%WINDIR%\corona.exe -A
- ブラウザのデフォルトのホームページを変更する。
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Start Page" = http://www.who.int/csr/don/2003_04_19/en
- C:\My Downloadsフォルダを検索し、以下のリストからランダムに選択したファイル名で自身のコピーをドロップ(作成)する。
- Cossacks Full Version.exe
- Cossacks Full Version.exe
- Battlefield 1942 (full).exe
- Warcraft III Full.exe
- Jedi Knight II.exe
- Quake 3 Full Version.exe
- Starcraft full.exe
- Doom 3.exe
- Tribes 2 (full).exe
- Rainbow 6 Full.exe
- Oni full.exe
- White and Black.exe
- Return to Castle Wolfenstien (Full).exe
- Command & Conquer: Generals.exe
- Black HawkDown (full).exe
- The Sims: Unleashed.exe
- Age Of Mythology.exe
- Dark Age of Camelot.exe
- Ultima Online.exe
- The Lord of the Rings.exe
- Medel of Honor: Allied Assualt.exe
- Grand Theft Auto 3 (full).exe
- Unreal 2: The Awakening (full).exe
- Unreal.exe
- Master Of Orion.exe
注:ワームのコピーの末尾にはゴミデータが追加されるので、ファイルサイズはそれぞれ異なります。また、同じディレクトリに0バイトのファイルを落とし込みます。
- Windowsのアドレス帳にあるアドレスに自身を送信する。自身のSMTPエンジンを使用して、上記の電子メールメッセージを作成する。
