McAfee for Small Businesses

・W32/Miniman@MMは、定義ファイル4253以降（および4.2.40エンジン）を使用すると、W32/Generic.a@MMの亜種として総称で検出されます。

・定義ファイル4289（および上記のエンジン）ではW32/Generic.a@MMとして特定のワーム名で検出し、このワームの駆除も行います。

・AVERTによるテストで、ワームにバグがあることが分かりました。

電子メールによる繁殖

・W32/Miniman@MMはMSVBで作成されており、Outlookのアドレス帳にある宛先に電子メールで自身を送信します。以下の2種類のメッセージを作成します。

メッセージ1（メインのバイナリファイルが送信）

件名： Microsoft Corporation Support
本文： Microsoft Corporation has issued a security alert for your computer. The patch is available in this attached download. This file will patch a Exploit found in Microsoft Windows Products. See Attached info for Information.
添付ファイル： Attach.exe

件名： The Bin Laden game
本文： 以下のいずれか

• Hi! This is an awesome Bin Laden game.Shoot him good.
• HI! This is an awesome Bin Laden game!!Shoot him down!

添付ファイル： virus.vbs

・テストでは、上記のメッセージは作成されませんでした。

インストール

・実行されると、Windowsフォルダに自身をコピーします。

• C:\Windows\MagicRulez.exe

・WIN.INIファイルに以下のエントリを追加して、システムの起動をフックします。

• run=%Windir%\MagicRulez.exe

・SYS.INIファイルには以下のエントリを追加して、システムの起動をフックします。

• shell=explorer.exe %System%\MagicRulez.exe

・autoexec.batファイルの末尾に、以下の2行を追加します。

• Echo Infected with T-X
• Start C:\Windows\Worm.exe

・startupフォルダにユーザの注意を引くようなファイル名で自身をコピーします（対象は、Win9xシステム）。

• C:\Windows\Start Menu\Programs\Startup\SydneyFuckHEHEHEH.exe

DoS（サービス拒否）発病ルーチン

・特定のリモートサーバにDoS攻撃を仕掛けるように設計されたバッチファイルを2つ落とし込みます。

• C:\Windows\Dos.bat：キーボードとマウスを無効化してから、以下の2つのサイトにPingを実行します。
  • www.Norton.com
  • www.microsoft.com
• C:\Windows\Pingme.bat：偽のエラーメッセージを表示してから以下のサイトにPingを実行します。
  • www.Microsoft.com
  • http://www.Norton.com
  • ftp://ftp.symantec.com