インストール
・ウイルスが感染マシン上で起動すると、一連の偽メッセージボックスが表示されます。
・ランダムに選んだファイル名で、ウインドウズディレクトリ内にウイルス自身をインストールします。例:C:\WINDOWS\ZNFUL.EXE
・レジストリキーがシステムスタートアップをフックするために追加されます。いかがその1例です(ランダムに選ばれる文字列、ファイル名は明確に変わります。)。
・HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "(random string)" = ZNFUL.EXE autorun
・様々なレジストリキーが下記のファイルタイプの実行をフックするために修正されます。
・BAT
・COM
・EXE
・PIF
・REG
・SCR
・このため、以下のレジストリキーがセットされます。
HKEY_CLASSES_ROOT\batfile\shell\open\command
"(Default)" = %filename% "%1" %*
HKEY_CLASSES_ROOT\comfile\shell\open\command
"(Default)" = %filename% "%1" %*
HKEY_CLASSES_ROOT\exefile\shell\open\command
"(Default)" = %filename% "%1" %*
HKEY_CLASSES_ROOT\piffile\shell\open\command
"(Default)" = %filename% "%1" %*
HKEY_CLASSES_ROOT\regfile\shell\open\command
"(Default)" = %filename% showerror
HKEY_CLASSES_ROOT\scrfile\shell\config\command
"(Default)" = %filename% "%1"
HKEY_CLASSES_ROOT\scrfile\shell\open\command
"(Default)" = %filename% "%1" /S
(「%filename%」には、ウイルスがウィンドウズディレクトリ内にインストールされたときにランダムに選ばれたファイル名が入ります。)
・また、以下のファイルが落とし込まれます。
・%WinDir%\GERMS0.DBV - email addresses harvested from the victim machine are written to this file (: delimitted)
・
%WinDir%\SWEN1.DAT - list of remote servers
・別のランダムに選ばれたファイルも同様にウィンドウズディレクトリ内に落とし込まれます。落とし込まれたウイルスのコピーを立ち上げるためのバッチスクリプト(約50キロバイト)と、パス/ファイル名のデータが含まれたコンフィグファイル(100-150バイト)
・以下のレジストリキーが、感染マシン上でRegEditを実行することを防ぐために設定されます。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System "DisableRegistryTools" = 01 00 00 00
・上記とは別のデータが、以下のキーに保存されたレジストリに書き込まれます。
・HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\explorer\%random string%
・「 %random string% 」はランダムに選ばれたテキスト文字列です。
・以下の値が保存されます。
・"Install Item" = (random string used for installed copy of worm in %WinDir%)
"Installed" = ... by Begbie
・
"Kazaa Infect" = yes
・
"Mirc Install Folder" = C:\Program Files\mirc
・
"Unfile" = buzf.qtq
・
"ZipName" = wqrqgd
・また、ウイルスは「MAPI32 Exception」についての偽ダイアログウィンドウを表示します。ユーザは以下のサブミットを試みます。
・ログイン名/パスワード
・メールアドレス
・SMTPサーバ
・POP3サーバ
プロセス終了
・ウイルスは感染マシン上の様々なプロセスを終了させます。興味深いことに、リストには「gibe」が含まれています。
・_avp
・ackwin32
・amserv
・anti-troj
・aplica32
・apvxdwin
・
autodown
・
avconsol
・
ave32
・
avgcc32
・
avgctrl
・
avgw
・
avkserv
・
avnt
・
avp
・
avsched32
・
avwin95
・
avwupd32
・
blackd
・
blackice
・
bootwarn
・
ccapp
・
ccshtdwn
・
cfiadmi
・
cfiaudit
・
cfind
・
cfinet
・
claw95
・
dv95
・
ecengine
・
efinet32
・
esafe
・
espwatch
・
f-agnt95
・
f-prot
・
f-prot95
・
f-stopw
・
findviru
・
fp-win
・
fprot
・
fprot95
・
frw
・
gibe
・
iamapp
・
ibmasn
・
ibmavsp
・
icload95
・
icloadnt
・
icmon
・
icmoon
・
icssuppnt
・
icsupp
・
iface
・
iomon98
・
jedi
・
kpfw32
・
lockdown2000
・
lookout
・
lu32
・
luall
・
moolive
・
mpftray
・
msconfig
・
nai_vs_stat
・
nav
・
navapw32
・
navnt
・
navsched
・
navw
・
nisum
・
nmain
・
normist
・
nupdate
・
nupgrade
・
nvc95
・
outpost
・
padmin
・
pavcl
・
pavsched
・
pavw
・
pcciomon
・
pccmain
・
pccwin98
・
pcfwallicon
・
persfw
・
pop3trap
・
rav
・
regedit
・
rescue
・
safeweb
・
serv95
・
sphinx
・
sweep
・
tca
・
tds2
・
vcleaner
・
vcontrol
・
vet32
・
vet95
・
vet98
・
vettray
・
view
・
vscan
・
vsecomr
・
vshwin32
・
vsstat
・
webtrap
・
wfindv32
・
zapro
・
zonealarm
・ウイルス起動時に、これらのプロセスのうちの1つがスタートした場合、偽エラーメッセージ「Memory access violation in module kernel32 at (number)」が表示されます。
感染カウンター
・ウイルスが感染マシン上で起動すると、ウイルスは感染カウンターとしての役目を持つリモートページ用のHTTPリクエストを発行します。
