・W32/Maax@MMは、ウイルス作成者が複数のウイルス対策会社に提出したもので、一般に出回っているウイルスであるかどうかは確認されていません。
・W32/Maax@MMは大量メール送信型ウイルスで、大量メール送信にはMicrosoft Outlookが使用されます。KaZaA、KaZaA Lite、Morpheus、Grokster、BearShare、Edonkey2000、Limewireなどのピアツーピアファイル共有を介しても繁殖します。
電子メールを介した繁殖
・W32/Maax@MMは、以下のような電子メールメッセージで届くことがあります。
件名:以下のいずれか
●Are you a Bussiness man?
●Care to trade world map?
●DAA Holding have an Idea for Bussiness man
●Do you have an enough salaries for you job?
●Don't missed Logon to DAABussiness.com
●Don't waste you money!
●Good Idea For ya!
●Great Job for Professional Programmer
●Hello man!
●Hey, how are you?
●Hi! ;)
●How to make a money in one day?
●How to prevent from Pirate CD!
●HOW TO PREVENT YOUR EMAIL FROM VIRUSES?
●IMPORTANT DISCUSSION!
●Job for you!
●NICE TO MEET YOU!
●No More Blood!
●Trade and Care about customer!
●Who's should be attacked first?
本文:
Hello Mr/Mrs/Sir/Mdm,
I have an Idea for you, This will make your business more efficient. To download this important tips just click here or you can downloaded the files from an attachment.
Regard,
Alexander Joshia
Executive Manager of DAA Holding
添付ファイル: Axam.exe
注:この電子メールメッセージには、ウイルス作成者のWebサイト上のウイルスへのリンクが含まれています。
・添付ファイルが実行されると、次のメッセージボックスが表示されます。
ピアツーピアを介した繁殖
・以下のピアツーピアファイル共有ソフトウェアフォルダに、ウイルスのコピーを作成します。
●\KMD\My Shared Folder\Axam.exe
●\Kazaa\My Shared Folder\Invisible_man.exe
●\KaZaA Lite\My Shared Folder\AjeedNASA.exe
●\Morpheus\My Shared Folder\Blaster.exe
●\Grokster\My Grokster\XXX_HOTSEX.exe
●\BearShare\Shared\fxbgbear.exe
●\Edonkey2000\Incoming\setup_flash.exe
●\limewire\Shared\Super Mario.exe
システムの改変
・ローカルシステム上で2か所にウイルスのコピーを作成します。
●%StartUp Folder%\Axam.exe
●%Application Data%\Axam.exe
・次のレジストリ実行キーを作成して、起動時にウイルスを読み込むようにします。
●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "sysaxam32" = %Application Data%\Axam.exe
・デフォルトの.EXEファイルの処理を以下のレジストリキーで変更し、.EXEファイル実行時にウイルスを実行します。
●HKEY_CLASSES_ROOT\Spitmaxa\DefaultIcon "(デフォルト)" = %1
●HKEY_CLASSES_ROOT\Spitmaxa\shell\open\command "(デフォルト)" =
C:\WINDOWS\Application Data\Axam.exe "%1" %*
●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "sysaxam32" = C:\WINDOWS\Application Data\Axam.exe
●HKEY_CLASSES_ROOT\.exe "(デフォルト)" = Spitmaxa
発病ルーチン
・以下のプロセスを終了します。
●_Avp32.exe
●_Avpcc.exe
●_Avpm.exe
●Ackwin32.exe
●Anti-Trojan.exe
●Apvxdwin.exe
●Autodown.exe
●Avconsol.exe
●Ave32.exe
●Avgctrl.exe
●Avkserv.exe
●Avnt.exe
●Avp.exe
●Avp32.exe
●Avpcc.exe
●Avpdos32.exe
●Avpm.exe
●Avptc32.exe
●Avpupd.exe
●Avsched32.exe
●Avwin95.exe
●Avwupd32.exe
●Blackd.exe
●Blackice.exe
●ccApp.exe
●Cfiadmin.exe
●Cfiaudit.exe
●Cfinet.exe
●Cfinet32.exe
●Claw95.exe
●Claw95cf.exe
●Cleaner.exe
●Cleaner3.exe
●Cmd.exe
●Command.com
●Dvp95.exe
●Dvp95_0.exe
●Ecengine.exe
●Esafe.exe
●Espwatch.exe
●F-Agnt95.exe
●Findviru.exe
●Fprot.exe
●F-Prot.exe
●F-Prot95.exe
●Fp-Win.exe
●Frw.exe
●F-Stopw.exe
●HH.exe
●Iamapp.exe
●Iamserv.exe
●Ibmasn.exe
●Ibmavsp.exe
●Icload95.exe
●Icloadnt.exe
●Icmon.exe
●Icsupp95.exe
●Icsuppnt.exe
●Iface.exe
●Iomon98.exe
●Jedi.exe
●Lockdown2000.exe
●Lookout.exe
●Luall.exe
●Moolive.exe
●Mpftray.exe
●N32scanw.exe
●Navapw32.exe
●Navlu32.exe
●Navnt.exe
●Navw32.exe
●Navwnt.exe
●Nisum.exe
●Nmain.exe
●Normist.exe
●Nupgrade.exe
●Nvc95.exe
●Outpost.exe
●Padmin.exe
●Pavcl.exe
●Pavsched.exe
●Pavw.exe
●Pccwin98.exe
●Pcfwallicon.exe
●Persfw.exe
●Rav7.exe
●Rav7win.exe
●Regedit.com
●Regedit.exe
●Rescue.exe
●Safeweb.exe
●Scan32.exe
●Scan95.exe
●Scanpm.exe
●Scrscan.exe
●Serv95.exe
●Smc.exe
●Sphinx.exe
●Sweep95.exe
●Tbscan.exe
●Tca.exe
●Tds2-98.exe
●Tds2-Nt.exe
●VControl.exe
●Vet95.exe
●Vettray.exe
●Vscan40.exe
●Vsecomr.exe
●Vshwin32.exe
●Vsstat.exe
●Webscanx.exe
●Wfindv32.exe
●Zonealarm.exe
・C:\AUTOEXEC.BATファイルに以下のコマンドを追加します。
echo off
cls
echo ###################################
echo ...-= AxAm WOrm PreSenT =-...
echo ###################################
pause >>NUL
・ウイルス内のコードから、C:ドライブおよびD:ドライブのフォーマットコマンドも挿入すると思われますが、テストでは実行しませんでした。
