・W32/Holar.e@MMは、ファイル名とサイズ以外はW32/Holar.d@MMと同一のワームです。電子メール、ピアツーピアネットワーク上での共有、PalTalk、ICQを介して繁殖します。
・W32/Holar.e@MMには非常に破壊的な発病ルーチンがあります。特定の拡張子を持つすべてのファイルの中身を削除して、0バイトにします(下記を参照してください)。
・定義ファイル4215以降を使用し、プログラムヒューリスティックスキャン(および圧縮ファイルのスキャン)を有効にすると、繁殖コンポーネント(MEDIA PLAYER.EXE)は“virus or variant New P2P Worm”(特定のワーム名ではなく、ワームの総称)として検出されます。
インストール
・W32/Holar.e@MMは、以下のような4つのファイルによるサンドイッチ状の構造です。
- ドロッパコンポーネント|繁殖コンポーネント|SMTPライブラリ|ICQ繁殖コンポーネント
・ドロッパコンポーネントは、W32/Holar.c@MMのドロッパコンポーネントに類似しています。エンジン4.2.40および定義ファイル4248以降を使用すると、このワームはMultiDropper-EY(ワームの先頭部分を構成しているのがドロッパです)として検出されます。
・落とし込まれたファイルの属性は、“隠しファイル”に設定されています。
・隠しファイル属性を確実に設定するために、以下のレジストリキーの隠し値を0にして、すべてのシステムファイルと隠しファイルが表示されないようにします。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
・繁殖コンポーネントは、%SysDir%ディレクトリにMEDIA PLAYER.EXE(26,112バイト)というファイル名で書き込まれます。システムの起動時にこのファイルを実行するようにレジストリキーが設定されます。
設定されるレジストリキーの例:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Ioadqm" = C:\WINDOWS\SYSTEM\MEDIA PLAYER.exe
・ICQ繁殖コンポーネントは、%SysDir%ディレクトリにSYS32 .EXEというファイル名で書き込まれます(10,258バイト、注:ファイル名にはスペースがあります)。ICQを介して繁殖するように作成されており、定義ファイル4254で検出されます。
・W32/Holar.e@MMは、C:\ドライブのルートに自身のコピーを複数作成します。コピー先に存在するファイル名を使用しますが、既存の拡張子を“[2].PIF”に書き換えます。
大量メール送信
・ターゲットマシン上のファイル(例:インターネットの一時フォルダ)から電子メールアドレスを収集し、レジストリに格納します。
電子メールアドレスを格納するレジストリの例:
- HKEY_CURRENT_CONFIG\System "Emails1" = harvested address
- HKEY_CURRENT_CONFIG\System "Emails2" = next harvested address
・自身のSMTPエンジンを使用し、落とし込まれたSMTPライブラリファイル(%SysDir%\SMTPMAILER.DLL、14,336バイト)を使用して電子メールメッセージを作成します。このSMTPライブラリファイルは、定義ファイル4254で検出されます。
・テストでは電子メールアドレスの収集とレジストリへの書き込みには成功しましたが、大量メール送信は実行しませんでした。
・ワーム内の文字列から、さまざまな件名と本文の電子メールメッセージが作成されると考えられます。
電子メールメッセージの例:
件名:'''*< Love Speaks it all >*'''
件名:Co0o0o0o0oL
件名:Fw:
件名:Heeeeeeeeeeeeeeeey
件名:Wussaaaaaaaap?
件名:Wow But not for Now
件名:y0 Ain't Got Shyt !
件名:Why Do We FOk?
件名:what does it look likt?
件名:did u get it?
件名:Why did u send me this shyt?
破壊的な発病ルーチン
・このワームがターゲットマシン上で実行されると、非常に破壊的な発病ルーチンを実行します。以下のいずれかの拡張子を持つファイルの中身が削除されて、0バイトになります(テストでは、ローカルおよびマップ済みのネットワークのすべてのドライブで実行しました)。
- htm
- html
- zip
- doc
- mdb
- xls
- txt
- ppt
- pps
- mpg
- jpg
- pdf
- rar
- ram
- mp3
- frm
- dpr
- php
- cpp
- swf
- sql
- mde
- wav
- rm
- mpeg
ピアツーピアを介した繁殖
・これまでのW32/Holarの亜種とは違って、W32/Holar.e@MMはピアツーピアネットワーク上の共有でも繁殖します。%SysDir%ディレクトリに自身のコピーを複数作成して、他のユーザの注意を引くようなファイル名を使用します。作成されたコピーは、システム属性、読み取り専用属性、および隠しファイル属性が設定されています。
使用されるファイル名の例(不適切な言葉は伏字にしています):
- Aint_it_Funny.pif
- Anal_Sex_Ass_fxxxing.pif
- AniMaL_N_Burning_Ladies.pif
- Asian_girls.pif
- Beauty_VS_Your_FaCe.pif
- Big_txxx_bxxxx_Pxxxies.pif
- Black_babes.pif
- Broke_ass.pif
- Come_2_Cxx.pif
- cute_Gays.pif
- Endless_life.pif
- Famous_PpL_N_Bad_Setuations.pif
- FASS.mpeg
- Gurls_Secrets.pif
- HardCore_Amature_Naked_nude.pif
- HaWaWi.pif
- HaWawi_N_Hawaii.pif
- Hearts_translator.pif
- Hot_Show.pif
- Hot_teen_Virgin.pif
- How_to_improve_ur_love.pif
- Leaders_Scandals.pif
- LeSbian_Girls_Lesbo_gay.pif
- Lo0o0o0o0oL.pif
- Music_downloader.pif
- Old_women_Sex.pif
- Real_Magic.pif
- SeXy_LaDies_Gettin_fxxxed.pif
- Shakira_ass.pif
- Shakiraz_Big_ass.pif
- Short_vClip.pif
- Show_clip_mpeg_movie.pif
- SmtpMailer.dll
- Sweet_but_smilly.pif
- Sys32 .exe
- Tears_of_Happiness.pif
- Tedious_SeX.pif
- Teenz_Rxxxr.pif
- The_Truth_of_Love.pif
- unfaithful_Gurls.pif
- Wet_pxxxxes.pif
- Wet_pxxxx_huge_cxxx_nice_dxxx.pif
- White_AmeRica.pif
- XxX_Mpegs_Downloader.pif
- Young_teen_Having_Sex.pif
