McAfee for Small Businesses

総称による検出：W32/Panoil.d@MMは4.2.40エンジンおよび定義ファイル4253以降を使用して圧縮ファイルのスキャンを有効にすると、"W32/Generic.a@MMまたはその亜種"として検出されます。

・W32/Panoil.d@MMは定義ファイル4295以降を使用すると、W32/Generic.a@MMとして検出されます。

・電子メール、Kazzaのファイル共有ネットワーク、およびMIRCを介して繁殖します。

・実行されると、W32/Panoil.d@MMは自身を以下のファイル名でターゲットマシンにインストールします。

• C:\Hacker_Hunter.exe.exe
• %Windir%\Hunter.exe
  （%WinDir%はWindowsディレクトリを表します）

・以下のレジストリキーを設定し、システムの起動をフックします。

• HKEY_LOCAL_MACHINE\Software\Microsft\Windows\CurrentVersion\Run\
  "SecurityFix" = %WinDir%\Hunter.exe

・W32/Panoil.d@MMはレジストリでInternet Explorerのスタートページの設定を変更して、トルコ共和国にある大学のWebサイトへ接続します。

• HKEY_LOCAL_MACHINE\Software\Microsft\Windows\CurrentVersion\Run\
  "Start Page" = http :// www. ankara.edu.tr

電子メールによる繁殖

・W32/Panoil.d@MMはMicrosoft Outlookを使用して、Outlookのアドレス帳にあるすべての電子メールアドレスに自身を送信します。

・以下にウイルスが作成したメッセージの例を示します。

KaZaaによる繁殖

・W32/Panoil.d@MMはKaZaaダウンロードディレクトリに以下のファイル名で自身をコピーします。

• Hunter.exe
• Hotmailhack.exe
• ICQ hack.exe
• Kernel hack.exe
• Linux Password Hack.exe
• Mail Hack.exe
• Matrix.exe

・MIRCがインストールされると、script.iniが上書きされ、MIRC/Genericとして検出されます。

・IRCクライアントを使用して、感染したユーザが参加しているチャネルに接続したすべてのユーザに送信します。