・W32/Fightrub@MMはピアツーピアファイル共有ネットワークおよび電子メールを介して繁殖します。
・動作すると、以下の偽のメッセージを表示します。
・W32/Fightrub@MMはC\Sysnetフォルダを作成し、以下のファイル名でこのフォルダに自身をコピーします。
- Ruby13.exe
- Nero Burning ROM v6.3 Ultra - Enterprise edition key.exe
- Counter-Strike, Condition Zero - Activation Key.exe
- icqbomber.exe
- BurnDvds.exe
- Dvd Ripper.exe
- Dvd To Vcd.exe
- Easy Dvd Ripper.exe
- EZ Dvd Ripper.exe
- Nimo Codec Pack Updater.exe
- Xvid Codec Installer.exe
- Starcraft + Broodwar 1.10 map hack.exe
- Starcraft + Broodwar 1.10 no-cd hack.exe
- Diablo 2 map hack.exe
- Diablo 2 no-cd hack.exe
- Warcraft 3 map hack.exe
- Warcraft 3 stat hack.exe
- Warcraft 3 no-cd hack.exe
- Warcraft 3 Frozen Throne map hack.exe
- Warcraft 3 Frozen Throne cd-cd hack.exe
- The Frozen Throne map hack.exe
- Counterstrike hacks.exe
- Counterstrike aim hack.exe
- Crack McAfee 7.exe
- Crack Norton 3000.exe
- Borland KeyGens.exe
- SophosCrackAllVersion.exe
- PANDA.lusers.exe
- PANDA.AVers.lusers.exe
- MP3 encoder decoder V1.8.exe
- A+ Certification Test.exe
- Cisco Certification Test.exe
- MSCE Certification Test.exe
- Windows Nt Certification Test.exe
- XBOX X-Fer Ripper and Transfer.exe
- Information.exe
- EBAY.exe
- VISA.EXE
- PROVIDER.EXE
- INTERNET.EXE
・また、以下のファイル名でC\Sysnetフォルダに自身をコピーします。
- Norton AntiVirus 2004 Pro Activation Key &
- Microsoft Windows XP Professional
- Adobe Photoshop CS and ImageReady CS 8.0
- Zone Alarm 5.0 pro
- Harry Potter and the Prisoner of Azkaban KeyGen and
- Norton Internet Security 2004 Keygen &
- All Adobe Products
- All Macromedia Products
- All Microsoft Products
- Divx Pro 5.1
- Dvd Plus
- Dvd Wizard Pro
- Dvd Xcopy
- DvdCopyOne
- DvdToVcd
- Easy Dvd creator
- Nero Burning Rom
- BitDefender
- Nod32
- Ipswich Town Official Management Game -
- Bridge Baron 13
- American Conquest -
- Grom -
- Slot City 3
- Command and Conquer Generals
- Nascar Racing 2003 Season
- Eonix Realm Of Hepmia -
- I Was An Atomic Mutant -
- Fetish Fighters -
- Battlefield 1942 The Road to Rome -
- The Campaigns of La Grande Armee -
- Unreal II The Awakening -
- The Emperors Mahjong -
- Sim City 4 -
- Private Nurse -
- Impossible Creatures -
- Test Drive -
- Shadow of Memories -
- World Of Outlaws Sprint Car Racing 2002 -
- Tombstone 1882 -
- Airport Tycoon II -
- Apache AH-64 Air Assault -
- Serious Sam - Gold Edition -
- IGI-2 Covert Strike -
- Tom Clancys Splinter Cell -
- Robot Arena Design And Destroy -
- Freelancer -
- Battlefield Vietnam -
- Deus Ex -
- Forbidden Siren -
- Doom 3 -
- WinRAR 3
- WinACE
- WinZIP 9
- Norton AntiVirus 2005
- Shrek 2
- Spider-Man 2
- Spellforce - Breath of Winter
- Norton Internet Security 2005 Pro
- Norton Internet Security 2004 Pro
- Symantec Internet Secutiy 2005
- Symantec Antivirus 2005
- Harry Potter und der Gefangene von Askaban
- Kazaa all
- Windows Server 2003
- Office XP Universal
・上記のファイル名には、以下のいずれかの文字列が付加されます。
- Keygen.exe
- Serial.exe
- NoCD.exe
- Crack.exe
・W32/Fightrub@MMは、Windowsの起動時に自身をロードするため、レジストリ実行キーを作成します。
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Ruby13" = "C:\Sysnet\Ruby13.exe"
・以下の値
が以下のレジストリキーに追加されます。
- HKEY_CURRENT_USER\Software\Kazaa\LocalContent\
- HKEY_CURRENT_USER\Software\Kazaa\Transfer\
- HKEY_CURRENT_USER\Software\iMesh\Client\LocalContent\
・これは、W32/Fightrub@MMがiMeshおよびKaZaaピアツーピアファイル共有ネットワークを使用して繁殖できるようにするためです。
電子メールを介した繁殖
・詳細は以下のとおりです。
差出人:(アドレスを偽装)
件名:
- EBAY Information
- VISA Information
- Provider Information
- Your Crack
- Internet Information
本文:
- EBAY Installer...
- Security Tool...
- Here is your crack!
- New account data...
添付ファイル:C:\Sysnetフォルダからのいずれかのファイル
・W32/Fightrub@MMは、自身のSMTPエンジンを使用してメッセージを作成します。ターゲットマシンの以下の拡張子を持つファイルから、ターゲットになる電子メールアドレスを収集します。
- .wab
- .dbx
- .htm
- .sht
- .txt
- .doc
- .rtf
・ただし、以下の文字列を含むアドレスには自身を送信しません。
- supp
- webm
- viru
- newv
- kasp
- micr
- root
- admi
- host.
