McAfee for Small Businesses

・W32/Cissi.wormはインターネットワームで、電子メールとネットワーク共有を介して繁殖します。また、IRCネットワークを使用してバックドアとしても機能します。

・W32/Cissi.wormが実行されると、%WinSys%\CISSI.exeという名前で自身をコピーします（%WinSys%は、Windows systemディレクトリです） 。

・W32/Cissi.wormは、Windowsの起動時に自身を実行するために以下のレジストリキーを改変します。

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  "Shell" = "Explorer.exe %WinSys%\CISSI.exe"

・以下の拡張子を持つファイルの中身をスキャンして、電子メールアドレスを検索します。

• htt
• .rtf
• .doc
• .xls
• .ini
• .mdb
• .txt
• .htm
• .html
• .wab
• .pst
• .fdb
• .cfg
• .ldb
• .eml
• .abc
• .ldif
• .nab
• .adp
• .mdw
• .mda
• .mde
• .ade
• .sln
• .dsw
• .dsp
• .vap
• .php
• .asp
• .shtml

・%WinSys%\CISSI.dllファイルに、取得した電子メールアドレスを書き込みます。

・W32/Cissi.wormは自身のSMTPエンジンを使用して、以下のような電子メールを送信します。

件名：（以下のいずれか）

• Heres a poem for you
• Ive written a poem for you
• Love poems for you :)
• Look what i wrote for you
• Poems for you
• Roses are red,
• You are mine,
• I love you until im dead,
• It will all be fine.
• I do miss you
• I do love you
• what you want me to do?
• I never want to go.
• Where did you run?
• Where did you hide?
• I stand here undone
• I stand here inside
• How could u do that
• Why did you say that
• How do you feel inside
• I wish i just could hide

添付ファイル：（以下のいずれか）

• LovePoem.pif
• Poem_collection.pif
• Zipped_poems.exe
• My Poems.txt.exe
• Poems.pif
• Sad Stories and Poems.pif
• My Story.pif
• The Poems.pif
• Poems for you.pif
• Only Poems.txt.pif

本文：（なし）

・W32/Cissi.wormはNetBIOS機能を使用して、ランダムに作成したIPアドレスに接続します。接続の際はあらかじめ定義されたユーザ名とパスワードのリストを使用し、アウトバンドのNetBIOS接続（ポート139）を大量発生させます。

・W32/Cissi.wormはポート6667でIRCサーバ（irc.undernet.org）に接続し、ランダムに作成したユーザ名であらかじめ定義されたチャネルにログインします。接続するとIRCコマンドを聴取して、さまざまなバックドアアクティビティ（ダウンロードやファイルの実行など）を実行します。