McAfee for Small Businesses

・W32/Yaha.y@MMはASPackで圧縮され、MSVCで作成されています。

・W32/Yaha.y@MMは、電子メールとネットワーク共有で繁殖します。内蔵するSMTPエンジンを使用して、電子メールメッセージを作成します。特定のプロセス（ウイルス対策、セキュリティ関連）が実行中の場合は終了させます。リモートマシン（さまざまなターゲットがワームにハードコード化されています）に対してサービス拒否攻撃を仕掛けるコードを含んでいます。

インストール

・W32/Yaha.y@MMが実行されると、%Sysdir%ディレクトリに以下のファイル名で自身をインストールします。

• MSEXEC.EXE
• MSUPDAT.EXE
• TASKMGR32.DLL
  （%Windir%は、Windowsディレクトリです。例えば、C:\WINDOWSです。）
  （%Sysdir%は、Windows Systemディレクトリです。例えば、C:\WINDOWS\SYSTEMです。）

・以下のレジストリキーを追加して、システムの起動をフックします。

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  "MicrosoftServiceManager " = "C:\%sysdir%\msupdat.exe"

・以下のレジストリキーを改変して、.EXEファイル、.BATファイル、および.COMファイルが実行されるたびに自身を実行します。

• HKEY_CLASSES_ROOT\exefile\shell\open\command "Default " = "%Sysdir%\ MSEXEC.EXE""%1"%*"
• HKEY_CLASSES_ROOT\batfile\shell\open\command "Default " = "%Sysdir%\ MSEXEC.EXE""%1"%*"
• HKEY_CLASSES_ROOT\comfile\shell\open\command "Default " = "%Sysdir%\ MSEXEC.EXE""%1"%*"

・リモート共有にある特定のフォルダ（ワームにハードコード化されています）でWIN.INIファイルを検索します（テストでは、マップ済みのネットワークドライブのみを検索しました）。WIN.INIファイルが存在する場合は、該当するフォルダにREG32.EXEというファイル名で自身をコピーして、WIN.INIファイルに以下のフックを追加します。

• [windows]
  run=REGP32.EXE

・以下のロケーションを検索します。

• \WINDOWS\WIN.INI
• \WIN98\WIN.INI
• \WIN95\WIN.INI
• \WINNT\WIN.INI
• \WIN\WIN.INI
• \WINME\WIN.INI
• \WINXP\WIN.INI

大量メール送信

・W32/Yaha.y@MMは自身のSMTPエンジンを使用して、感染システムから電子メールメッセージを送信します。

・W32/Yaha.x@MMで説明したのと同様の方法で、電子メールメッセージを作成します。

・WindowsフォルダのHOSTSファイルとLMHOSTSファイルを改変して、ユーザが以下のWebサイトにアクセスできないようにします。

• www.symantec.com
• www.kaspersky.com
• www.mcafee.com
• www.microsoft.com
• www.mcafee.com
• www.sophos.com
• www.avp.ru

サービス拒否攻撃

・W32/Yaha.y@MMは、以下のサイトに対してサービス拒否攻撃を仕掛けます。

• jamaat.org
• klc.org.pk
• pak.gov.pk
• piac.com.pk
• ummah.org.uk