McAfee for Small Businesses

・W32/Torvil.d@MMは、定義ファイル4250〜4298でプログラムヒューリスティックを有効にして圧縮ファイルをスキャンすると、New Malware.bとして検出されます。

・W32/Torvil.d@MMは大量メール送信型ワームで、電子メール、開かれたファイル共有、 Usenetニュースグループ、ピアツーピアファイル共有アプリケーション、およびインターネットリレーチャット（IRC）を介して繁殖すると考えられます。また、セキュリティソフトウェアを終了させ、MS02-015の脆弱性を悪用します。

・W32/Torvil.d@MMは、さまざまな件名、本文、添付ファイルのついた電子メールで届きます。送信者アドレスは偽造されています。メッセージは以下のとおりです。

差出人：security@microsoft.com
添付ファイル：Q723523_W9X_WXP_x86_EN.exe

・以下は添付される可能性のあるファイルです

●attachment.zip
●document.doc.pif
●document1.doc.pif
●flt-ixb23.zip
●flt-xb5.rar.pif
●message.zip
●probsolv.doc.pif
●Q723523_W9X_WXP_x86_EN
.exe ●readit.doc.pif
●sexinthecity.scr
●sexy.jpg
●torvil.pif
●win$hitrulez.pif
●yourwin.bat


・この添付ファイルが実行されると、以下のダイアログボックスを表示します。

・Exitボタンがクリックされると、ウイルスは自身をインストールして、ダイアログボックスは消えます。Patchボタンがクリックされると、インストールシミュレーションをして、別のメッセージボックスを表示します。

・“spool”の後にランダムな2文字、さらにその後に.exe拡張子を追加したファイル名でWINDOWSディレクトリに自身のコピーを作成します。以下のレジストリキーを作成して、システムの起動時にこのファイルを読み込みます。

●HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "Service Host" = %WinDir%\spool (random characters) .exe

・WIN.INI実行キーも作成して、ワームを読み込みます。Windows Nt/2000/XPシステムでは、以下のキーが設定されます。

●HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" = Explorer.exe spool (ランダムな文字) .exe

・以下のパラメータを使用するサービスとして自身をインストールします。

●HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ TORVIL
○Description = Provides Local Access to the Registry
○DisplayName = System Registry Service
○ImagePath = (path to worm) xStartOurNiceServicesYes

・.bat、.cmd、.com、.exe、.pif、および.scr拡張子のファイルが実行されるたびに、このワームを自動実行するように、以下のレジストリキーを改変します。

●HKEY_CLASSES_ROOT\batfile\shell\open\command "(デフォルト)" = C:\WINNT\svchost.exe "%1" %*
●HKEY_CLASSES_ROOT\cmdfile\shell\open\command "(デフォルト)" = C:\WINNT\svchost.exe "%1" %*
●HKEY_CLASSES_ROOT\comfile\shell\open\command "(デフォルト)" = C:\WINNT\svchost.exe "%1" %*
●HKEY_CLASSES_ROOT\exefile\shell\open\command "(デフォルト)" = C:\WINNT\svchost.exe "%1" %*
●HKEY_CLASSES_ROOT\piffile\shell\open\command "(デフォルト)" = C:\WINNT\svchost.exe "%1" %*
●HKEY_CLASSES_ROOT\scrfile\shell\open\command "(デフォルト)" = C:\WINNT\svchost.exe "%1" /S

・さらに以下のレジストリキーも作成して、システムファイルを隠し、レジストリの編集を不能にします。また、ワームが自身の進行を追跡できるようにします。

●HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\ Explorer\Advanced "ShowSuperHidden"=0
●HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System "DisableRegistryTools"=1
●HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System "DisableRegistryTools"=1
●HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\OneLevelDeeper

・Windowsディレクトリに以下の2つのファイルを作成して、繁殖活動に使用します。

●message.dat（85,478バイト）：MIMEエンコードされているウイルスの本体
●message.htm（86,297バイト）：MIMEエンコードされているウイルスの本体（MS02-015のエクスプロイトコードを後方に追加）

・WindowsディレクトリのControl Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}という名前の隠しディレクトリにウイルスのコピーを複数保存します。このディレクトリに含まれるファイル名は、以下の3種類の方法で取得されます。このプロセスでは、さまざまな拡張子（.EXE、.PIF、および.SCR）がファイル名の後に追加されます。

1.ランダムなファイル名を生成します。
例：
○Four_A.htm
○Four_B.htm
○Four_C.htm
○Five_A1.htm

2.他の既存のファイル名を使用します。
例：
○FEEDBACK.HTM
○THANKYOU.HTM
○192.168.149[1].htm

3.ウイルスの本体に含まれるファイル名を使用します。
例：
○BearShare Pro 4.3.0.exe
○Borland C++ BuilderX 1.0 Enterprise Edition.exe
○Dragon NaturallySpeaking 8 ISO Multilanguage.exe
○Half Life 2.exe
○Half Life 2 beta patch2.exe
○Halo.exe
○iMesh 4.2 Ad Remover.exe
○Macromedia Contribute 2.exe
○Macromedia Studio MX 2004 AllApps.exe
○McAfee Personal Firewall Plus 2004.exe
○McAfee SpamKiller 2004.exe
○○McAfee VirusScan Home Edition 2004.exe
○Microsoft Office System Professional V2003.exe
○Nero Burning ROM v6.0.0.19 Ultra Edition.exe
○NetObjects Fusion v7.5.exe
○NHL 2004.exe
○Norton Antispam 2004.exe
○Norton AntiVirus 2004.exe
○Norton SystemWorks 2004.exe
○○Sophos AntiVirus v3.74.exe
○TVTool v8.31.exe

・落とし込まれた.HTMファイルは、MIMEエンコードされたワームのコピーを含んでいます。このワームのコピーに続いてExploit-CodeBaseコードも含んでおり、パッチを適用されていないシステムがファイルにアクセスすると自動的にウイルスを実行します。

電子メールを介した繁殖

・W32/Torvil.d@MMは、以下の文字列を含むファイルから収集した電子メールアドレスへ自身を送信します。

●ABD
●DAT
●DBX
●DOC
●DOT
●EML
●HTM
●HTML
●INBOX
●MAI
●MBX
●MHT
●MMF
●NCH
●ODS
●PHP
●PST
●RTF
●TBB
●WAB


ファイル共有を介した繁殖

・W32/Torvil.d@MMは、以下の共有を介してリモートシステムへのアクセスを試みます。

●c$
●d$
●admin$
●IPC$
●print$

・以下のパスワードを使用してアクセスします。

●23523

●54321
●654321
●5201314
●!@#$
●!@#$%
●!@#$%^
●!@#$%^&
●!@#$%^&*
●!@#$%^&*(
●!@#$%^&*()
●abc
●abcd
●admin
●alpha
●asdf
●asdfgh
●computer
●database
●default
●enable
●god
●guest
●home
●Internet
●KKKKKKK
●login
●love
●manager
●mypass
●mypc
●oracle
●pass
●passwd
●password
●private
●public
●pw
●pwd
●qwe
●qwer
●root
●secret
●security
●server
●sql
●super
●sybase
●temp
●test
●user
●win95
●win98
●windows
●winnt
●winxp
●xp
●xxx
●yxcv
●zxcv

・NetScheduleJob APIを呼び出して、予定タスク（ターゲットシステムで自身をリモート実行）をリモート設定します。

ピアツーピアアプリケーションを介した繁殖

・W32/Torvil.d@MMは、Xolo、KaZaa、およびDonkey2000の共有ディレクトリに自身をコピーします。

IRCを介した繁殖

・感染ユーザと同じチャネルに参加するユーザに自身を送信するために上書きします。

Usenetを介した繁殖

・W32/Torvil.d@MMは、繁殖先となる以下のニュースグループの長いリストを含みます。

●alpha.webusenet.com
●alt.destroy.microsoft
●alt.news.microsoft
●baldrick.blic.net
●baracka.rz.uni-augsburg.de
●bbsnews.ndhu.edu.tw
●beech.fernuni-hagen.de
●bias.ipc.uni-tuebingen.de
●bossix.informatik.uni-kiel.de
●butthead.cybertrails.com
●cabale.usenet-fr.net
●ccnews.thu.edu.tw
●cdr.nord.net
●corp.newsgroups.com

●corp-binaries.newsgroups.com
●davide.msoft.it
●demonews.mindspring.com
●dogwood.fernuni-hagen.de
●dp-news.maxwell.syr.edu
●etel.ru
●forums.novell.com
●freebsd.csie.nctu.edu.tw
●frmug.org
●ftp.tomica.ru
●globo.edinfor.pt
●grapevine.lcs.mit.edu
●grieg.uol.com.br
●htsrv.attack.ru
●hub1.meganetnews.com
●info.rgv.net
●info.tsu.ru
●info4.uni-rostock.de
●infosun2.rus.uni-stuttgart.de
●inx3.inx.net
●isgnt5.netnow.net
●lord.usenet-edu.net
●microsoft.public.win32.programmer.gdi
●msnews.microsoft.com
●natasha.ncag.edu
●netnews.de
●news.abcs.com
●news.ajou.ac.kr
●news.aktrad.ru
●news.aoc.gov
●news.avcinc.com
●news.avicenna.com
●news.beta.kz
●news.bsi.net.pl
●news.caiwireless2.com
●news.caravan.ru
●news.caribsurf.com
●news.cat.net.th
●news.cdpa.nsysu.edu.tw
●news.cell.ru
●news.cofc.edu
●news.coli.uni-sb.de
●news.com2com.ru
●news.comtel.ru
●news.corvis.ru
●news.cs.nthu.edu.tw
●news.cs.tu-berlin.de
●news.datast.net
●news.deakin.edu.au
●news.detnet.com
●news.discom.net
●news.dma.be
●news.dna.affrc.go.jp
●news.dsuper.net
●news.emn.fr
●news.enet.ru
●news.freenet.de
●news.fwi.com
●news.fxalert.com
●news.gamma.ru
●news.gcip.net
●news.gdbnet.ad.jp
●news.globalpac.com
●news.hanyang.ac.kr
●news.htwm.de
●news.ind.mh.se
●news.inet.gr
●news.informatik.uni-bremen.de
●news.infotecs.ru
●news.intel.com
●news.invarnet.inwar.com.pl
●news.isu.edu.tw
●news.itcanada.com
●news.jerseycape.net
●news.kiev.sovam.com
●news.konkuk.ac.kr
●news.krs.ru
●news.leivo.ru
●news.lit.ru
●news.louisa.net
●news.lsumc.edu
●news.lucky.net
●news.man.torun.pl
●news.math.cinvestav.mx
●news.matnet.com
●news.maxnet.ru
●news.mc.ntu.edu.tw
●news.mindvision.com.au
●news.nchu.edu.tw
●news.ncue.edu.tw
●news.netcarrier.com
●news.netdor.com
●news.nsysu.edu.tw
●news.odata.se
●news.online.de
●news.phoenixsoftware.com
●news.portal.ru
●news.primacom.net
●news.ramlink.net
●news.read.kpnqwest.net
●news.readfreenews.net
●news.reference.com
●news.ripco.com
●news.ruhr-uni-bochum.de
●news.savvis.net
●news.sexzilla.com
●news.solaris.ru
●news.spiceroad.ne.jp
●news.srv.cquest.utoronto.ca
●news.sti.com.br
●news.tehnicom.net
●news.teleglobe.net
●news.telepassport.de
●news.terra-link.com
●news.tln.lib.mi.us
●news.tohgoku.or.jp
●news.triax.com
●news.ttnet.net.tr
●news.tu-ilmenau.de
●news.udel.edu
●news.uncensored-news.com
●news.uni-duisburg.de
●news.uni-erlangen.de
●news.uni-hohenheim.de
●news.uni-mannheim.de
●news.uni-rostock.de
●news.uni-stuttgart.de
●news.unitel.co.kr
●news.univ-nantes.fr
●news.utb.edu
●news01.uni-trier.de
●news1.sinica.edu.tw
●news2.new-york.net
●news4.euro.net
●news4.odn.ne.jp
●news4.uncensored-news.com
●news-archive2.icm.edu.pl
●newscache0.freenet.de
●newscache1.freenet.de
●newscache2.freenet.de
●newscache3.freenet.de
●newscache4.freenet.de
●newscache5.freenet.de
●pubnews.gradwell.net
●regulus.its.deakin.edu.au
●service.symantec.com
●snews.apol.com.tw
●supern2.lnk.telstra.net
●tabloid.uwaterloo.ca
●www.usenet.pl