McAfee for Small Businesses

・W32/Etern.wormはIRCバックドア型トロイの木馬で、KaZaaピアツーピアファイル共有ネットワークを介して繁殖します。

・W32/Etern.wormは、定義ファイル4214以降でプログラムヒューリスティックを有効にしてスキャンすると、“トロイの木馬”または“New BackDoor5の亜種”として検出されます。

・このウイルスは、Microsoft Visual Cで作成されており、“W32/Lolol.c.worm”と同様にトロイの木馬“IRC-Sdbot”のソースコードに非常によく似ています。

・このウイルスが実行されると、ターゲットマシンの%Windir%\Systemディレクトリ（例：c:\WINNT\SYSTEM32）にMSINSTALL61.EXEとして自身をインストールし、以下のレジストリキーを追加してシステムの起動をフックします。

●HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Internet Loader1" = MSInstall61.exe

●HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce "Internet Loader1" = MSInstall61.exe

●HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Internet Loader1" = MSInstall61.exe

●HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce "Internet Loader1" = MSInstall61.exe

●HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices "Internet Loader1" = MSInstall61.exe

・さらに次のディレクトリが存在する場合は、このディレクトリに自身のコピーを複数作成します。

●C:\Program Files\KaZaA\My Shared Folder\

・コピーされたファイルに使用されるファイル名は、下記の感染方法をご覧下さい。

・IRCコンポーネントが、リモートのIRCサーバのTCPポート6667に送信トラフィックを発生させ、IRCチャネルに接続してコマンドを受け取ろうとします。

・ターゲットマシンのTCPポート113が開きます。