McAfee for Small Businesses

・W32/Vybab@MMは、Visual Basic Scriptファイルを落とし込んでOutlookのアドレス帳にある宛先に自身を送信する偽装ウイルスです。

総称による検出：ウイルスを送信するために落とし込まれたVBSスクリプトは、定義ファイル4141以降でVBS/Generic@MMとして検出されます。

寄生による感染

・W32/Vybab@MMはターゲットマシン（Program Filesディレクトリ、D:、E:、F:、およびG:）で.EXEファイルの先頭に付加します。感染したファイルは141,824バイトまでサイズが増加します。

注：落とし込まれた不要ファイルの中には"感染"しているものもあります（以下を参照。.EXEの拡張子が付いたファイル）。これらのファイルは検出され、最初に落とし込まれた不要ファイルに戻されます。

大量メール送信

・W32/Vybab@MMはVBSスクリプトをユーザの一時フォルダに落とし込み、Outlookのアドレス帳にある宛先に自身を送信します。

• C:\DOCUMENTS AND SETTINGS\USERNAME\LOCAL
  SETTINGS\TEMP\ECHO.VBS

以下のような送信メッセージが作成されます。

件名: Microsoft Pack2, ;0)
添付ファイル:（最初に実行されたファイル名）
本文:
Hi
This is Microsoft client server center
Check This!

その他

・W32/Vybab@MMは123.TXTというファイルを%WinDir%に落とし込みます。以下の文字列が含まれます。

• babyv ; made of Ran

・また、最初に実行されたファイルのコピーをC:\SEEYOU.RARとして落とし込みます。

・その他の無作為に名付けられたファイルが以下の拡張子をつけて作成されます。

• EXE
• BAT
• HTM
• RAR
• DOC
• XLS

・これらのファイルはただ一つの文字列（自身のファイルパス）を含むだけです。上記で説明したとおり、不要ファイル（EXEの拡張子が付いたファイル）に"感染"することがあります。