McAfee for Small Businesses

・QReg-9はMSVBで作成されており、ターゲットマシンのさまざまな設定を変更します。QReg-9は.JPG.EXEの拡張子のついたファイル名で送信され、ユーザに実行ファイルだと思わせないようにします。

・QReg-9がターゲットマシンで実行されると、SystemディレクトリにBCFOLDER.EXEとして自身をコピーします。

・コピーされるファイルの例：
●C:\WINNT\SYSTEM32\BCFOLDER.EXE

・以下のレジストリキーが改変され、QReg-9をフックします。
●HKEY_CLASSES_ROOT\Folder\shell\open\command "(Default)"

・上記のレジストリキーの変更により、以下から
●%SystemRoot%\Explorer.exe /idlist,%I,%L
・以下に変更されます。
●C:\WINNT\System32\BCfolder.exe explorer.exe /idlist,%I,%L

・さらに、以下のレジストリキーを改変し、ターゲットマシンのリサイクルビン（ゴミ箱）の名前を「brutecode@yahoo.com」に変更します。
●HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E} "(Default)"

・同じように、以下のレジストリキーも改変されます。
●HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E} "LocalizedString"

・上記のレジストリキーの変更により、以下から
●@C:\WINNT\system32\shell32.dll,-8964@1033,Recycle Bin
・以下に変更されます。
●brutecode@yahoo.com

・以下のレジストリキーが削除されます。
●HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec "(Default)" = [ViewFolder("%l", %I, %S)]

・初期の分析によると、QReg-9はInternet Explorerのスタートページを改変しようとしましたが、テスト時には行われませんでした。

・QReg-9は以下の文字列を含みます。
●Dedicated to : GOD'S_OWN_COUNTRY