McAfee for Small Businesses

・W32/Lovero.wormは、オリジナルはsyssrv.exeと呼ばれる悪意のある32ビットPEファイルで、ファイルサイズは63,488バイトです。Borland Delphiで作成され、Aspackで圧縮されています。

・W32/Lovero.wormのアイコンはNotepadのテキストを装います。多くのテストマシンでは、正しく実行されませんでした。正しく実行されると、空のNotepadウィンドウが表示されます。たとえば、win2000システムでは、以下の場所に自身をコピーします。

• c:\winnt\system32\syssrv.exe.

・W32/Lovero.wormは、システム起動時に自動的にファイルを実行させるため、以下の標準レジストリエントリを作成します。

• HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• 名前： syssrv
• データ： c:\winnt\system32\syssrv.exe

・プロセスはWindowsタスクマネージャに表示され、手動で停止することもできます。VirusScanでは、自動的にプロセスの停止、レジストリエントリの削除、ファイルの除去ができます。

・悪意のあるプロセスの実行中は、レジストリエディタを起動できますが、完全には機能せず、レジストリ情報の参照および編集はできません。

・また、共用ファイル属性のHallo.Roro.httと呼ばれるファイルを作成し、システム属性、読み取り設定属性、および隠しファイル属性を設定します。このファイルはウイルスの作成者が誰かへの愛情を示した無害のテキストファイルです。

・W32/Lovero.wormはA:フロッピードライブに自身をコピーします。テストでは、W32/Lovero.wormは機能せず、その結果、フロッピードライブはハングアップして反応しませんでした。大量のメール送信は行いません。

・発病するとautoexec.batを変更して、次回のスタートアップ時にProgram FilesおよびWindowsフォルダからファイルを削除し、インドネシア語のメッセージを表示します。