McAfee for Small Businesses

・W32/Sory.wormは共有ジャンプ型ワーム（Windowsのファイル共有機能を使用して、次々に他のシステムに自身をコピーします）で、Windows 2000/XPシステム上で繁殖します。システム情報および個人情報も取得します。電子メールでは繁殖しません。

・W32/Sory.wormが実行されると、WINDOWS SYSTEM(%SysDir%)ディレクトリにServices.exeというファイル名で自身をコピーします。以下のレジストリ実行キーを作成して、システムの起動時に自身を読み込みます。

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
  Run "Services" = %VirusPath%

・Windows 9xシステム上では、以下のようにWIN.INIファイルとSYSTEM.INIファイルを改変します。

• win.ini, [windows] "load" = %VirusPath%
• win.ini, [windows] "run" = %VirusPath%
• system.ini, [boot] "shell" = Explorer.exe %VirusPath%

・Windows NT/2000/XPシステム上では、以下のレジストリキーを追加します。

• HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\
  Windows "run" = %VirusPath%
• HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\
  Winlogon "shell" = Explorer.exe %VirusPath%
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
  Run "Services" = %VirusPath%

・NET VIEWコマンドを使用して、ローカルエリアネットワーク内の他のシステムを検索します。発見したシステムの以下のフォルダに自身をコピーします。

• Documents and Settings\All Users\Start Menu\Programlar\BASLANGIC\（トルコ語版スタートメニュー）
• Documents and Settings\All Users\Start Menu\Programs\Startup

・WINDOWS SYSTEMディレクトリにTEMPフォルダを作成します。キーストローク情報を取得して、このディレクトリのファイルに（暗号化して）保存します。このログファイルの名前は17文字をランダムに組み合わせたもので、3文字のランダムな拡張子がつきます。定期的にCJB.NETのユーザサイトにアクセスして、以下のような取得情報をアップロードします。

• Windowsのバージョン
• CPUの番号/タイプ/速度
• RAM容量
• ページファイルのサイズ
• ターゲットマシンのデフォルトのSMTPサーバ、POP3サーバ、POP3ユーザ名、および電子メールアドレス（ターゲットマシンのInternet Account Manager設定のレジストリで指定されます）

・このCJB.NETのユーザサイトは、devel.gazi.edu.trのユーザサイトにリダイレクトされます。