McAfee for Small Businesses

・このVisual Basicで作成されたワームは、さまざまなチャネルを介して繁殖します。

●Outlookのアドレス帳にある宛先に自身を大量にメール送信します。
●ローカルドライブおよびネットワークドライブに自身をコピーします。
●mIRCを介して（ZIPアーカイブ内で）自身を送信します。
●KaZaaのファイル共有ネットワークを介して繁殖します。
●フロッピーワームとして繁殖します。

・テスト時には、このワームはNT/2000マシンでは起動しませんでした。

・実行されると、このワームはターゲットマシンで起動中の（ウイルス対策およびセキュリティ製品に関連した）プロセスを終了しようとします。

大量メール送信による繁殖

このウイルスは、Outlookのアドレス帳にあるすべての宛先に自身の圧縮コピーを添付してメール送信します。

一度のメール送信でも、それぞれの受信者に異なるフォーマットのメッセージが送られることがあります。メッセージは以下のようにフォーマットされていることがあります。

件名：以下のような件名があります。

●Thank You !
●The E.A.S.E System Can Make You Money At Home!!
●Free Software, Download it now !!
●Confirmation Email - Required !
●Free MP3. OGG/VORBIS Hit Songs !!
●Re: Your Daily Report
●You are Losing Income
●Download DVD Movie Now !! Its Free..!
●WHY NOT CHECK IT OUT? IT'S FREE!

・添付ファイル：さまざまなファイル名のついたZIPアーカイブファイルです。以下のファイル名があります。
●BONUS.ZIP
●REPORT.ZIP
●FREEPIC.ZIP
●FREEJOIN.ZIP
●FFA.ZIP

ZIPファイル（約116,540バイト）にはワームのコピー（ファイルサイズ：127,488バイト）が含まれます。ZIPファイル内のワームのファイル名は様々で、例えば以下のような名前があります。

●SEXY.EXE
●REPORT.EXE
●FISTING.EXE
●FREEJOIN.EXE

本文：以下のような本文があります。


●Have I peaked your curiosity?
This is something that I think that anyone who is serious about marketing and being on the internet should check out.

Save it Now !

●Hello!



Need a quick $100 today?
Need a quick $500 this week?
Need to QUICKLY build a $5,000 monthly income?

Download the attachment now !

●The Mastercard Stored Value Card is good anywhere in the world that Mastercard is accepted! APPLY NOW AND GET $20 FREE!!
Download it Now And Get free Bonus!

例：

ワームによる繁殖

・このワームは、ローカルドライブおよびネットワークドライブに自身のコピーを複数作成します。このワームはローカルドライブおよびネットワークドライブを再帰し、以下の種類のファイルに代えて、自身を%Filename%.%Ext%.SCRとして上記のディレクトリにコピーします（%Filename%と%Ext%はそれぞれオリジナルのファイル名と拡張子です）。

●EXE
●SCR
●LNK
●DOC
●XLS
●JPG
●MP3
●MPG
●HTM
●HTML

・このワームは、フロッピードライブおよびネットワークドライブにも自身をコピーします。このとき、ファイル名として、例えば以下のような.JPG.EXEまたは.JPG.SCRなどの二重拡張子のついた、注目を引く名前を使用します。

●ASIAN106.JPG.EXE
●SEXYGIRLS749.JPG.EXE
●LESBIAN606.JPG.SCR

KaZaaによる繁殖

・このワームは以下のフォルダに自身のコピーを複数作成します。このフォルダはKaZaaのファイル共有ネットワークでファイルを共有する際に通常使用されるものです。

●c:\Program Files\KaZaA\My Shared Folder\

・このとき、ファイル名には以下のような注目を引く名前を使用し、ユーザが自分のマシンでワームを実行するように仕向けます。

●AMATEURE686146203Jpg.exe
●ANTIVIRAL.EXE
●ASIAN462572179Jpg.exe
●AVUPDATE.EXE
●FREE_FIREWALL.EXE
●Fetish227628495Jpg.exe
●Fisting282627155Jpg.exe
●Girls673729390Jpg.exe
●LIVEUPDATE.EXE
●Lolita16451450Jpg.exe
●MCAFEE.EXE
●NAVUPDATE.EXE
●NUDE85872349Jpg.exe
●PASSWORD.EXE
●PIC909599469Jpg.exe
●Preeteens322361381Jpg.exe
●SEXSHOW.EXE
●SEXY789731202Jpg.exe
●XPPatch.exe

mIRCによる繁殖

・このワームは、mIRCフォルダにMIRC.INIというスクリプトファイルを落とし込み、mIRCチャネルを介して繁殖しようとします。アーカイブに無料のポルノ画像が含まれていることをほのめかして、FREEPIC.ZIP（ファイルサイズ：xxバイト）という自身の圧縮コピーを送信しようとします。

・落とし込まれたMIRC.INIスクリプトファイル（2,223バイト）は、定義ファイル4149以降を使用すると、MIRC/Genericとして検出されます。