・W32/Holar.h@MMは、定義ファイル4266と4.2.40エンジンを使用して圧縮ファイルをスキャンすると(デフォルトのスキャンオプションです)、“New MSVB P2P worm”(特定のワーム名ではなく、ワームの総称)として検出されます。
・W32/Holar.h@MMは、これまでに発見された亜種と非常によく似ています。電子メールおよびピアツーピアネットワーク上の共有で繁殖します。
・このワームは、以下のような3つのファイルによるサンドイッチ状の構造です。
- ドロッパコンポーネント|繁殖コンポーネント|SMTPライブラリ
・ドロッパコンポーネントが残りのコンポーネントを落とし込み、実行します。
- 繁殖コンポーネント:56,614バイト
- SMTPライブラリ:25,737バイト
・ドロッパコンポーネントおよび繁殖コンポーネントの文字列から、W32/Holar.h@mmは以下のような電子メールメッセージで届くと考えられます。
送信者:Dispatch@McAfee.com
・以下のような、さまざまな件名と本文が使用されます。
'''*< Love Speaks it all >*'''
Co0o0o0o0oL
Fw:
Heeeeeeeeeeeeeeeey
Wussaaaaaaaap?
WoW But not for NoW
y0 Ain't Got Shyt !
Why Do We FOk?
Heeelllooo , anybody home????
Why did u send me this shyt?
Re:Hi
Lo0o0o0o0o0o0o0o0o0o0o0o0oL
hurry up !!!
To Early To Have Sex!
Fw:Send it to all of the ppl u love
Surpise !
Again?
Who are you??????
Hummm , i hope u accept this show as an apology.
I've Got it :)
Helloooooooo
If u are booooored ...
Dispatch@McAfee.com
添付ファイル:以下のリストから、さまざまなファイル名が選択されます(電子メールメッセージの件名と本文に合わせて選択されます)。
- Aint_it_Funny.pif
- AniMaL_N_Burning_Ladies.pif
- Beauty_VS_Your_FaCe.pif
- Broke_ass.pif
- Come_2_Cum.pif
- Endless_life.pif
- Famous_PpL_N_Bad_Setuations.pif
- Gurls_Secrets.pif
- HAwa.pif
- HaWawi_N_Hawaii.pif
- Hearts_translator.pif
- Hot_Show.pif
- How_to_improve_ur_love.pif
- Leaders_Scandals.pif
- Lo0o0o0o0oL.pif
- Real_Magic.pif
- Shakiraz_Big_ass.pif
- Short_vClip.pif
- Sweet_but_smilly.pif
- Tears_of_Happiness.pif
- Tedious_SeX.pif
- Teenz_Raper.pif
- The_Truth_of_Love.pif
- ToolAv01w32.pif
- unfaithful_Gurls.pif
- White_AmeRica.pif
- XxX_Mpegs_Downloader.pif
・添付ファイルを実行すると、ローカルシステムに感染します。WINDOWS SYSTEMディレクトリに、以下のファイルを抽出します。
- explore.exe(24,064バイト)
- SMTP.ocx(25,737バイト)
・レジストリ実行キーを作成して、システムの起動時にワームを読み込みます。
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "Explore" = C:\WINDOWS\SYSTEM\EXPLORE.exe
・WINDOWS SYSTEMディレクトリにも、上記の電子メールの添付ファイルの名前を使用して自身をコピーします。WINDOWS SYSTEMディレクトリをデフォルトの共有フォルダとして使用するように、KaZaaを設定します。
