・W32/Tored.wormはRealBasicで作成され、ボット機能が組み込まれたワームです。コードの複数のバグにより、部分的に動かない、またはまったく動かない可能性があります。
・Windowsアドレス帳の電子メールアドレスに自身をメールし、ネットワーク共有(十分な権限が存在すると仮定)、リムーバブルディスク(見たところ、正常に動作していない)に自身をコピーして、ネットワーク上で繁殖できます。
・また、以下の場所に自身のコピーを数個作成します。
- c:\[W32/Tored.wormのファイル名].exe
- c:\Documents and Settings\[ユーザ名]\Start Menu\Programs\Startup\systemupdate (ファイル拡張子のないファイル名)
- c:\Documents and Settings\[ユーザ名]\Start Menu\Programs\Startup\[W32/Tored.wormのファイル名].exe
- %Sysdir%\applesystem (ファイル拡張子のないファイル名)
- %Sysdir%\[W32/Tored.wormのファイル名].exe
・以下のような電子メールが生成されます。
件名: " For Mac OS X ! :(If you are not on Mac please transfer this mail to a Mac and sorry for our fault :)"
「差出人」フィールド: "AppleFu"[2つのランダムな文字]"cker@mail.[2つのランダムな文字]
本文:
・以下のいずれかから始まります。
- "Hi "
- "Hey"
- " Hello"
- "y0 "
- "Yo"
- "Selem alaykom"
- "Friend ! :) , "
・上記の後に以下のいずれかが付加されます。
- " friend "
- " dude"
- " man"
- " you"
・3番目の部分は以下から選ばれます。
- " wassup ?"
- " how it is going "
- " I missed you ! ^^"
- " what is up there? "
- " what is new ?"
- " how are you"
- " sup?"
・4番目の部分はランダムな文字列で構成され、5番目の部分も以下からランダムに選ばれます。
- "Traducting and decrypting message .... : "
- "Traducting and decrypting message .... :Sir , Your Text !"
- "Traducting and decrypting message .... :Error For Sending ,It Is Important to Get Your Data "
- "Traducting and decrypting message .... :Chek It "
- "Traducting and decrypting message .... :Crypted Message Has Been An Attachement , To Chek Your Message , Chek Your Attchement"
- "Traducting and decrypting message .... :Check"
- "Traducting and decrypting message .... :Your Identidie Has Been ....Chek Attchement For More Information"
- "Traducting and decrypting message .... :You Has Been Comprimased , updating tools are as an attachement !"
- "Traducting and decrypting message .... :Credi Money Has Been Sent As A Binary File for thanks for the updating, Chek"
- "Traducting and decrypting message .... :New update tools "
- "Traducting and decrypting message .... :Chek your update application !"
- " Traducting and decrypting message .... :Your information was ..."
・「スパム」モードがオンのとき、上記以外の電子メールが送信される可能性があります。生成されるメールは以下のようになります。
・件名は以下のいずれかの文字列を使って作成されます。
- "Hi , Chek"
- "Sir , Your Text !"
- "Error For Sending ,It Is Important to Get Your Data "
- "Chek It "
- "Crypted Message Has Been An Attachement , To Chek Your Message , Chek Your Attchement"
- "Check"
- "Your Identidie Has Been ....Chek Attchement For More Information"
- "You Has Been Comprimased , Chek !"
- "Credi Money Has Been Sent As A Binary File , Chek"
- "New porn tools "
- "Chek your XXX application !"
- " Your information was ..."
・本文は空で、「差出人」フィールドは以下のいずれかの電子メールアドレスを使って偽装されます。
- br@fh.tn
- av@av.tn
- fucker@fuck.fu
- ser@jhfd.it
- Ma@ry.am
- apple@service.tn
・W32/Tored.wormが使用しようとするSMTPサーバは以下のとおりです。
- "smtp.9online.fr"
- "mail.club-internet.fr"
- "mail.diligo.fr"
- "smtp.free.fr "
- "smtp.infonie.fr"
- "smtp.libertysurf.fr"
- "smtp.nerim.fr"
- "mail.cybercable.fr"
- "mail.oreka.com"
- "smtp.wanadoo.fr"
- "mail.worldnet.fr"
- "smtp.laposte.net"
・これらのメールにもW32/Tored.wormが添付されます。
・W32/Tored.wormのボット機能は複数のコマンドを理解できます。
- beep
- log.start
- log.stop
- update
- navigate
- spam.on
- spam.off
- ddos.on (TCPポート80でDDoS)
- ddos.off
・また、TCPポート9999で受信待機を行い、キーロガー機能を搭載し、追加ファイルをダウンロードして実行できます。
・レジストリキーを作成することはありません。
