・W32/Winur.worm.aは、定義ファイル4215-4245を使用し、プログラムヒューリスティックスキャンを有効にすると“New P2P Worm”として検出されます。
・W32/Winur.worm.aはネットワーク共有、ピアツーピアファイル共有ソフトウェアおよびフロッピーディスクによって繁殖し、3つの白人至上主義者のWebサイトにDoS(サービス拒否)攻撃を仕掛けるペイロードを含んでいます。
・感染システム上にあるファイル名や以下のファイル名を使用してKaZaaによって繁殖します。
●.exe
●Adobe Photoshop cracker.exe
●Age of Empire crack.exe
●Age of Mythology cracker.exe
●All Microsoft games cracker.exe
●Anastacia game.exe
●AOL hacker.exe
●AOL password stealer.exe
●Britney spears game.exe
●Bugbear remover.exe
●Christina Aguilera game.exe
●Die another Day DVD full.exe
●Die another day flash movie(1).exe
●Die another day flash movie.exe
●Dvd ripper.exe
●EA games Keygen.exe
●Esafe desktop protection crack.exe
●Frontpage cracker.exe
●Hotmail account hacker in 30 minutes.exe
●Hotmail hacker.exe
●Hotmailhacker v1.0.exe
●ICQ hacker.exe
●ICQ password stealer.exe
●Jack the ripper v1.0.exe
●Jackie chan dvd collection.exe
●James Bond game - Die another day.exe
●John the ripper v1.0.exe
●Justin Timberlake Debute movie.exe
●Klez fixtool.exe
●Lord of the rings VCD.exe
●Love calculator.exe
●Mcafee virusscanner crack.exe
●Microangelo cracker.exe
●Most important hacker tool ever!.exe
●msconfig.exe
●MSN Messenger commercial cracker.exe
●MSN Password stealer.exe
●MXlinx 0.30 crack.exe
●Nikki cox game and movie.exe
●Norton antivirus cracker.exe
●Office XP license cracker.exe
●pornmovie (hardcore sex adult asian).exe
●Red Alert cracker - All versions.exe
●Rollercoaster tycoon cracker.exe
●shortcut to northwind.lnk.exe
●Shriek DVD crack patch.exe
●Stop the war (intro).exe
●Super 2000key keygen.exe
●Theme park world cracker.exe
●UnIcOrn Gift.exe
●Warcraft 3 cracker.exe
●Website hacker v1.0.exe
●Windows Me crack.exe
●Windows XP license cracker.exe
●Yaha Fixtool.exe
ピアツーピアを介した繁殖
・W32/Winur.worm.aが実行されると、隠しディレクトリ“c:\winrun”を作成します。そしてこのディレクトリに、上記のファイル名およびシェルフォルダのPersonal、My Music、My Videoにあるファイル名で自身のコピーを作成します。このWINRUNフォルダは、KaZaaファイル共有アプリケーションとWinMXファイル共有アプリケーションのデフォルトの共有フォルダに設定されます。
・このウイルスはc:\klez_removal.exeにも自身をコピーします。また、以下のレジストリ実行キーを作成して、起動時に自身を読み込むようにします。
●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "msconfig" = C:\winrun\msconfig.exe
●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices "winrun" = C:\winrun\msconfig.exe
・以下のレジストリキーも追加します。
●HKEY_CURRENT_USER\Software\KaZaa\
Advanced "ScanFolder" = REG_DWORD:1
●HKEY_CURRENT_USER\Software\KaZaa\
InstantMessaging "IgnoreAll" = REG_DWORD:1
●HKEY_CURRENT_USER\Software\KaZaa\
LocalContent "DisableSharing" = REG_DWORD:0
●HKEY_CURRENT_USER\Software\KaZaa\
ResultsFilter "adult_filter_level" = REG_DWORD:0
●HKEY_CURRENT_USER\Software\KaZaa\
ResultsFilter "bogus_filter" = REG_DWORD:0
●HKEY_CURRENT_USER\Software\KaZaa\
ResultsFilter "firewall_filter" = REG_DWORD:0
●HKEY_CURRENT_USER\Software\KaZaa\
ResultsFilter "virus_filter" = REG_DWORD:0
●HKEY_CURRENT_USER\Software\KaZaa\
Settings "FolderWarning" = REG_DWORD:0
●HKEY_CURRENT_USER\Software\KaZaa\
Settings "Quarantine" = C:\WINDOWS\Start Menu\Programs\StartUp
●HKEY_CURRENT_USER\Software\KaZaa\
UserDetails "AutoConnected" = REG_DWORD:1
●HKEY_LOCAL_MACHINE\Software\Microsoft\MessengerService\
Policies "IMWarning" = (M)Warning: The person who you are talking to is infected with a virus. Send him the removal tool that can be found in C:\klez_removal.exe(M)
・最後のレジストリキーは、ローカルのMSN Messengerユーザのシステムに警告メッセージを表示して、相手のユーザにウイルスを送信するよう仕向けます。
フロッピーディスクを介した繁殖
・A:ドライブに“IMPORTANT - READ THIS.DOC < 62 spaces > .exe”というファイル名でウイルスのコピーを保存します。
発病ルーチン
・毎月24日に、以下のメッセージボックスが表示されます。
・毎月5日、15日、25日には、3つの白人至上主義者のWebサイトにDoS(サービス拒否)攻撃を仕掛け、以下のネットワーク共有繁殖を試みます。
ネットワーク共有を介した繁殖
・c:\Autostart.batファイルを作成して、NET VIEWコマンドの出力をc:\ntwrk32.dllファイルにリダイレクトします。c:\ntwrk32.dllファイルは、繁殖対象となる現在のワークグループに属するシステムの一覧をウイルスに提供します。
・C共有を利用して、以下のパスに自身のコピーを作成します。
●windows\Start Menu\Programs\StartUp\msoffice32.exe
●windows\start menu\Programma's\Opstarten\msoffice32.exe
●Documents and Settings\All Users\Start menu\
programs\startup\msoffice32.exe
●Documents and Settings\All Users\Menu Start\
Programma's\Opstarten\msoffice32.exe
・AVERTのテストでは、ネットワーク共有繁殖による感染はローカルシステム以外では起こりませんでした。このウイルスが作成したc:\Autostart.batおよびc:\ntwrk32.dllは、実行後削除されることがあります。
