・W32/Revocer@MMが実行されると、以下のように自身のコピーを作成します。
%Windir%フォルダに作成されるコピー
●Autotest.com
●Compile32.pif
●Jdbgmgr.exe
●Security.pif
●Startwin.com
●TaskBoot.com
●Uninstall32.pif
●Winboot32.com
●Windows Startup.pif
%Windir%\%System%フォルダに作成されるコピー
●Autoexec32.bat
●Killvir.com
●Msdos32.pif
●Jdbgmgr.exe
●%Windir%\Start Menu\Programs\StartUp\SysTray.pif(このエントリは、マシンが再起動するたびにウイルスを再度読み込むように作成されたものである)
●%Windir%\COMMAND\EBD\Winexec.bat
●%Windir%\TEMP\Jdbgmgr.exe
注:%Windir%は、Windows 98/ME/XPシステム上ではC:\Windows、Windows NT/2000システム上ではC:\Winntです。また%System%は、Windows 98/ME/XPシステム上ではC:\Windows\System、Windows NT/2000システム上ではC:\Winnt\System32です。
・%Windir%\%System%フォルダのJdbgmgr.exeファイルは正規のWindowsファイルですが、ウイルスはファイル名を変えずに上書きします。オリジナルのファイルは削除されます。
・以下のフォルダが存在する場合は、これらのフォルダにさまざまなファイル名で自身のコピーを作成します。
●C:\Kazaa\My Shared Folder
●C:\My Downloads
●C:\Program Files\Kazaa\My Shared Folder
●C:\Programme\Kazaa\My Shared Folder
●C:\Programmi\Kazaa\My Shared Folder
●C:\Program Files\Kazaa Lite\My Shared Folder
●C:\Programme\Kazaa Lite\My Shared Folder
●C:\Programmi\Kazaa Lite\My Shared Folder
●C:\Program Files\Bearshare\Shared
●C:\Programme\Bearshare\Shared
●C:\Programmi\Bearshare\Shared
●C:\Program Files\Edonkey2000
●C:\Programme\Edonkey2000
●C:\Programmi\Edonkey2000
●C:\Program Files\Morpheus\My Shared Folder
●C:\Programme\Morpheus\My Shared Folder
●C:\Programmi\Morpheus\My Shared Folder
●C:\Program Files\Grokster\My Grokster
●C:\Programme\Grokster\My Grokster
●C:\Programmi\Grokster\My Grokster
●C:\Program Files\ICQ\Shared Files
●C:\Programme\ICQ\Shared Files
●C:\Programmi\ICQ\Shared Files
使用されるファイル名
●Computer Virus Generator.pif
●Dancing Girls ScreenSaver.scr
●Erotic Poetry.pif
●FixTool.exe
●How to hack websites.pif
●How to hack www.google.com
●How to make a virus.pif
●KaZaA Bug Fix.exe
●KaZaA Download Booster.exe
●Lord Of The Rings 2 Fast Downloader.pif
●Microsoft Product Serial List.pif
●Nature ScreenSaver.scr
●NFS Car Builder.pif
●Norton AntiVirus Quick Downloader - www.symantec.com
●Readme.pif
●Red Alert 2 Money Cheat.pif
●The Sims patch.pif
●Type-and-talk.pif
●User Information.pif
●Virtual Sex ScreenSaver.scr
●WarCraft 2 - Advanced Level Builder.com
●Windows Logon Password Cracker.pif
・次のレジストリキーを作成します。
●HKEY_CURRENT_USER\Software\Zed/[rRlf]\Recovery\1.0(レジストリ値:
W32/Recovery family worm by Zed/[rRlf] )
・次のようにレジストリキーを改変し、Windowsが再起動するたびにウイルスを実行するようにします。
●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runから
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Msdos32"
(レジストリ値:C:\WINDOWS\SYSTEM\Msdos32.pif)
大量メール送信ルーチン
・Microsoft Outlookのアドレス帳にあるすべてのアドレスに自身を送信します。次のような電子メールメッセージで届く可能性があります。
