・VBS/Ryon@MMは、VBS/Ryon@MMとして検出されます。実行されると、以下のロケーションに自身をコピーします。
- c:\message.vbs
- [windowsディレクトリ]\tasksys.vbs
- [windowsディレクトリ directory]\message.vbs
- [windows SYSTEMディレクトリ]\message.vbs
- [windows SYSTEMディレクトリ]\helpdesk.vbs
- [windows SYSTEMディレクトリ]\asl.vbs
- [windows SYSTEMディレクトリ]\welcome.vbs
- [windows SYSTEMディレクトリ]\fwtwih.dll
・以下のレジストリキーを追加します。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run \tasksys, "[windowsディレクトリ]\tasksys.vbs"
・以下のメッセージを含む、c:\readme.htmlファイルを作成します。
・次に、c:\embryon.dllファイルとc:\embryon.vbsファイルを落とし込みます。これらのファイルはVBS/Generic@MMとして検出されます。c:\embryon.vbsファイルは、以下のレジストリキーを編集します。
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
Start Page,"http://www.greenpeace.org.
・Embryon.vbsファイルは、すべての固定ドライブとネットワークドライブに\readme.vbsというファイル名でc:\message.vbsファイルをコピーします。また、mIRCがインストールされているかどうかを調べます。インストールされている場合は、script.iniファイルを編集して、mIRCで感染ファイルを送信します。
・Outlookを使用して、アドレスリストに登録されている最初の101件の宛先に電子メールメッセージを送信します。以下のレジストリキーに宛先を記録します。
- HKEY_CURRENT_USER\Software\Microsoft\Notepad\
・以下のような電子メールを送信します。
- 件名:Mail delivery failed: returning message to sender.
- 本文:
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its recipients (see above from address). This is a permanent error. A copy of the message, including all the headers, is attached.
- 添付ファイル:message.vbs
・Embryon.vbsファイルは、windows systemディレクトリにflps.vbsファイルを落とし込んで、a:\message.vbsファイルに感染ファイルのfwtwih.dllをコピーします。ただしコードにバグがあるため、この発病ルーチンは実行されません。c:\embryon.vbsファイルとc:\embryon.dllファイルを削除して、以下のレジストリキーを追加します。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\flps, "[windows SYSTEMディレクトリ]\flps.vbs"
