McAfee for Small Businesses

--2003年9月11日更新情報--
ReutersのVirus Writers Mark Sept 11 with New Batch of Bugsという記事が出て、メディアの注目を集めたので、危険度を「低[要注意]」に引き上げました。

・このウイルスは、4267以上のウイルス定義ファイルと4.2.40エンジンが起動中のMcAfee製品で、「W32/ GenericP2P.worm」として検出されます（圧縮ファイルのスキャンで検出可能）。

・このVisual Basic型ワームは、受信者のアウトルックアドレスブックにワーム自身を送信することで繁殖します（メッセージの作成と送信にアウトルックを使用）。

・また、KaZaaのピアツーピアファイル共有ネットワークを通じて繁殖します。

ウイルスメールの特徴

・このウイルスは以下のような特徴をもったメールとして受信されます。

件名: [Outlook recipient]. [*********] THE WAR HAS STARTED !

「Outlook recipient」には、アウトルックアドレスブックで見つかったメールアドレスが入ります。

「*********」には以下の文のいずれかである可能性があります。

LET US UNITE
NOW OUR MISSION: DEATH ?
THE WORLD WAR THREE IS HERE !
REMEMBER OUR LOST SOULS !
WORLD WAR SCENES FROM IRAQ !
WORLD TRADE CENTER, REVENGE !

メール本文：

[Outlook recipient], THE WAR IS NOT A JOKE !... THERE IS ONE BUILDING UP RIGHT NOW
Let's Unite In This Horrible Kaos. [Outlook recipient], ... Fight For Us....!!!
...And Let Us Remember Those Lost Souls ! WE COUNT ON YOU ! [Outlook recipient]
Greetings,
World War Veterans.

添付ファイル：

WTC32.DLL
WTC32.SCR

・WTC32.DLLファイルは、ユーザのアウトルックアドレスブック内にあるアドレスを含んでおり、ファイル内の文字列に続きます。例えば、アウトルックアドレスブック内にアドレスが１０個あるとすると、ファイルには以下のような内容が含まれている可能性があります。

"10 Users In Harmony With God !"

インストール

・ウイルスが実行されると、CドライブのフォルダにWTC32.SCRとして自身をインストールします。

・以下のレジストリキーがシステムスタートアップをフックするために追加されます。

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  "W32Tc " = C:\Windows\WTC32.scr

・以下のレジストリキーが、インターネットエクスプローラーのスタートページを変更し、代わりにワームを起動します。

• HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
  "Start Page" = C:\Windows\WTC32.scr