このウイルスは、VBS/Gorum.gen@MM の亜種として4125DATファイル(このウイルスの発見日より21ヶ月前にリリースされたバージョン)で検出されます。指定された検出および特定の修復は4237DATファイルに含まれています。
JS/Nevezed@MMは、大量メール送信ワームで、メール受信者のOutlook Addressに自身を送信するためにMAPIメッセージングを使用します。ウイルスメールは、以下のような件名および添付メールで送られてきます。
件名
- Hello %email address%!
- Hey %email address%!
- Fwd: Hey You!
- Fwd: Check this!
- Fwd: Just Look
- Fwd: Take a look!
- %email address%!
- Fwd: Loop at this!
- Fwd: Check this out!
- Fwd: It's Free!
- Fwd: Look!
- Fwd: Free Mp3s!
- Fwd: Here you go!
- Fwd: Have a look!
- Look %email address%!
- Fwd: Read This!
本文
Hello!
Check out this great list of mp3 sites that I included in the attachments!
I can get any Mp3 file that I want from these sites, and its free!
And please don't be greedy! forward this email to all the people that
you consider friends, and Let them benefit from these Mp3 sites aswell!
Enjoy!
添付ファイル
- Free_Mp3s.js
- Fwd_Mp3s.js
- Mp3_Sites.js
- Mp3_Web.js
- Mp3_List.js
- Mp3_Pages.js
- Web_Mp3s.js
- Mp3-Sites.js
- Fwd-Mp3s.js
- Mp3-Fwd.js
- Fwd-Sites.js
ファイルが実行されると、ウイルスは自身をWINDOWS SYSTEM (%SysDir%)ディレクトリにコピーし、PC起動時にウイルスをロードするためのレジストリキーを作成します。
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "JSCmd32" = Wscript.exe C:\WINDOWS\SYSTEM\CmdWsh32.js %1
さらにスタートアップフォルダに自身をStartUp.jsとしてコピーし、.TXT, .JS, .SCRファイルがアクセスされた時はいつでもウイルスを実行するように構成する。
- HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command
"(Default)" = Wscript.exe C:\WINDOWS\SYSTEM\CmdWsh32.js %1
- HKEY_CLASSES_ROOT\scrfile\shell\open\command
"(Default)" = Wscript.exe C:\WINDOWS\SYSTEM\CmdWsh32.js %1
- HKEY_CLASSES_ROOT\txtfile\shell\open\command
"(Default)" = Wscript.exe C:\WINDOWS\SYSTEM\CmdWsh32.js %1
マーカーレジストリキーを作成します。
- HKEY_CURRENT_USER\Software\Never
"(Default)" = Never by Zed/[rRlf]
PCの全てのドライブのルートに自身をTemporary.jsとしてコピーしようとします。
