McAfee for Small Businesses

・総称による検出：定義ファイル4253以降で4.2.40エンジンを実行している製品では、圧縮ファイルのスキャンを有効にすると、W32/Panoil.c@MMは“virus or variant W32/Generic.a@MM”（特定のウイルス名ではなく、ウイルスの総称です）として検出されます。

・定義ファイル4291以降ではW32/Generic.a@MMとして検出されます。

電子メールを介した繁殖

・W32/Panoil.c@MMはMicrosoft Outlookのアドレス帳にあるすべての宛先へ自身を送信します。

・以下のような電子メールが送信されます。

件名：
Contact Information

本文：
tries to repair the infected mail messages; removes messages in case they are unrepairable.
添付ファイル：Mail_Check.exe

インストール

・W32/Panoil.c@MMはターゲットマシンに次のファイルに自身をインストールします。

• C:\Mail_Check.exe
• %Windir%\Mail_Check.exe
  （%WinDir%はWindowsディレクトリ）

・以下のレジストリキーを設定してシステムの起動をフックします。

• HKEY_LOCAL_MACHINE\Software\Microsft\Windows\CurrentVersion\Run\
  "Mail_Check" = %WinDir%\Mail_Check.exe

・システムが再起動するたびにW32/Panoil.c@MMが実行されるように、以下のエントリが Win.iniファイルに追加されます。

• run="%Windir%\Mail_Check.exe"

・W32/Panoil.c@MMはマーカとして2つのレジストリエントリを作成して、マシンで実行されたかどうかを示します。

• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Infected
  "Name"="Panolili"
  "Possessor"="0x06.0x15.0x06.0x09.0x0F.0x0C.0x0F.0x0C"

・W32/Panoil.c@MMはレジストリでInternet Explorerのスタートページの設定を改変して、トルコ共和国にある大学のWebサイトへ接続します。

• HKEY_LOCAL_MACHINE\Software\Microsft\Windows\CurrentVersion\Run\
  "Start Page" = http :// www. ankara.edu.tr

・VBSスクリプトPaket.vbsがCドライブのルートへ落とし込まれます。VBSスクリプトはTurkish TelecomのWebサイトへのサービス拒否（DoS)攻撃を開始するコードを含んでいます。このスクリプトは定義ファイル4291でFDos-Panoilとして検出されます。