McAfee for Small Businesses

・W32/Payfor@MはMicrosoft Outlookを介して繁殖する電子メールワームです。破壊的な発病ルーチンも含んでおり、文書を上書きし、ファイルを削除します。ウイルス内部にパスがハードコード化されているため、ポルトガル語版Windows（Cドライブ上）と、SymantecのNorton製品を実行しているシステムにのみ繁殖します。

・このワームはATENDIMENTO.DOC.EXEという名前の添付ファイルで届きます。添付ファイルが実行されると、C:\ARQUIV~1\NORTON~1ディレクトリ（大部分のシステムではこのフォルダは存在しません）に以下のファイルを作成します。

• ATENDIMENTO.DOC.EXE
• D.EXE
• NAV.EXE
• nav32.exe
• nav-32.exe
• payback.doc

・また、c:\WINDOWS\SYSTEM\NAV.EXEに自身をコピーし、以下のレジストリ実行キーを作成します。

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
  Run "NAV Agent-1" = C:\ARQUIV~1\NORTON~1\nav32.exe
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
  Run "NAV Agent-2" = C:\ARQUIV~1\NORTON~1\nav-32.exe
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
  RunServicesOnce "NAV Agent-" = C:\ARQUIV~1\NORTON~1\NAV.EXE
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
  RunServicesOnce "NAV Agent-1" = C:\ARQUIV~1\NORTON~1\nav32.exe
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
  RunServicesOnce "NAV Agent-2" = C:\ARQUIV~1\NORTON~1\nav-32.exe
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
  RunServicesOnce "NAV Agent-x" = C:\WINDOWS\SYSTEM\NAV.EXE

電子メールを介した繁殖

・W32/Payfor@M はOutlookの受信トレイにある未読の電子メールを検索します。送信者のアドレスを取得し、それらのアドレスに以下のようなメッセージを送信します。

件名： 感染したコンピュータ名
本文： 感染したコンピュータ名
添付ファイル： ATENDIMENTO.DOC.EXE

その他の繁殖

・W32/Payfor@Mはアクセス可能なフォルダにATENDIMENTO.DOC.EXEというファイル名で自身をコピーします。その結果、ピアツーピアファイル共有繁殖が発生します（KaZaaおよびBearshareのようなプログラムはこのウイルスを共有します）。

破壊的な発病ルーチン

・W32/Payfor@Mはローカルシステム上にある.DOCファイルを以下のテキストで上書きします。

IT's Pay Back Day

・また、以下の拡張子を持つファイルを削除します。

• .dbx
• .doc
• .doc
• .exe
• .mdb
• .ocx
• .pst
• .xls