McAfee for Small Businesses

・W32/Mumu.b.wormは共有ワームです。アクセス可能なリモート共有に繁殖します。複数のコンポーネントを利用してリモートマシンにADMIN$\SYSTEM32\MUMU.EXEというファイル名で自身をコピーしようとします。

・繁殖のメカニズムで使用されるコンポーネントには、McAfee製品によって検出されるものがあります。下記を参照してください。

・W32/Mumu.b.wormはMUMU.EXEファイル（290,874バイト）として、ターゲットマシンに届くようです。実行されると、以下のファイルをインストールします。

• %SysDir%\PSEXEC.EXE (36,352バイト) - RemoteProcessLaunchアプリケーションのUPXで圧縮されたコピーです。このUPX形式のファイルは、定義ファイル4232以降でIRC/Flood.iとして検出されます。
• %WinDir%\BBOY.EXE (20,480バイト) - 定義ファイル4273以降でPWS-SinComとして検出されます。
• %SysDir%\BBOY.DLL (36,864バイト) - 定義ファイル4273以降でPWS-SinCom.dllとして検出されます。
• %SysDir%\KAVFIND.EXE - リモートマシンをスキャンして開いているポートを検出するツールです。定義ファイル4272以降（4.2.40エンジン）でIPCScanとして検出されます。
• %SysDir%\MUMU.EXE - ワームのコピー

・$SysDir%はWindows Systemディレクトリ（例：C:\WINNT\SYSTEM32）、WinDir%はWindowsディレクトリです。

・W32/Mumu.b.wormは、レジストリ名のキーを作成して、レジストリにホストIPアドレスのネットワークアドレスを保存します。例：ターゲットマシンのIPアドレス 100.0.0.2。

• HKEY_LOCAL_MACHINE\Software\mumu "100.0.0"

・W32/Mumu.b.wormはSMTPエンジンを内蔵しており、メッセージを作成して、ターゲットマシンからハッカーへデータを送信します。このデータは、ターゲットマシン上の以下のファイルから抽出されます。

• %Windir%\QJINFO.INI

注：このファイルはPWS-SinComによって作成されます。

・このファイルのコンテンツはbase64でエンコードされ、ワームにハードコード化されたアドレスに電子メールで送信されます。以下のSMTPサーバが使用されます。

• SMTP.SINA.COM.CN