・W32/MyWife.c@MMは実行時にWindows Media Playerを開きます。プレーヤーは任意のファイルを再生します。
・次に、W32/MyWife.c@MMは以下のレジストリキーを作成します。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "NOTEPAD.EXE" = C:\WINNT\VOLUME\NOTEPAD.EXE
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "(Default)" = C:\WINNT\VOLUME\NOTEPAD.EXE
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup "Security" = C:\WINNT\SYSTEM32\NOTEPADm.exe
・WinZipがローカルマシン上にインストールされている場合、登録されたユーザ名とシリアル番号を変更します。
- HKEY_CURRENT_USER\Software\Nico Mak Computing\WinZip\WinIni "Name" = BlackWorm
- HKEY_CURRENT_USER\Software\Nico Mak Computing\WinZip\WinIni "SN" = 2AD00ED6
・W32/MyWife.c@MMは、さまざまな名前を使用して、ローカルハードドライブ上の複数のフォルダに自身をコピーします。
- %windir%\Task.exe
- %windir%\system32\About_BlackWorm.C.txt
- %windir%\system32\Connection.exe
- %windir%\system32\Life.jpg
- %windir%\system32\movie_05.MP3____________.exe
- %windir%\system32\movie009.pif
- %windir%\system32\NOTEPADm.exe
- %windir%\system32\Old_Password.baT
- %windir%\system32\OSSMTP.DLL
- %windir%\system32\PaltlkRoom.wav___________.scr
- %windir%\system32\sound_223.mp3___________.scr
- %windir%\system32\The_Members.PIF
- %windir%\system32\Video_live.mpg____________.exe
- %windir%\system32\yahoo.PIF
- %windir%\VOLUME\NOTEPAD.EXE
- c:\Program Files\Internet Explorer\Media Player.exe
- %SysDir%\About_BlackWorm.C.txt" (harmless ASCII file)
・また、以下のレジストリキーが作成されます。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
"NOTEPAD.EXE" = C:\WINNT\VOLUME\NOTEPAD.EXE
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
"(Default)" = C:\WINNT\VOLUME\NOTEPAD.EXE
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup "Security" = C:\WINNT\SYSTEM32\NOTEPADm.exe
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TlntSvr "Start" REG_DWORD = 02, 00, 00, 00
以下のレジストリキーが存在すると、AV系ソフトウェアが起動しないように削除します。
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NPROTECT
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\NPROTECT
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ccApp
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ccApp
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ScriptBlocking
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ScriptBlocking
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MCUpdateExe
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MCUpdateExe
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\VirusScan Online\
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\VirusScan Online
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MCAgentExe
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MCAgentExe
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\VSOCheckTask
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\VSOCheckTask
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\McRegWiz
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\McRegWiz
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\McVsRte
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\McVsRte
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\PCClient.exe
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\PCClient.exe
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\PCCIOMON.exe
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\PCCIOMON.exe
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pccguide.exe
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\pccguide.exe
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\PccPfw
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\PccPfw
感染したマシンにWinZIPがインストールされていれば、W32/MyWife.c@MMはユーザ名とシリアルナンバーを変更します。
- HKEY_CURRENT_USER\Software\Nico Mak Computing\WinZip\WinIni "Name" = BlackWorm
- HKEY_CURRENT_USER\Software\Nico Mak Computing\WinZip\WinIni "SN" = 2AD00ED6
