当ワームが実行されると、Windowsシステムフォルダに次のようなファイルを作成します。

tsrv.exe
tsrv.dll
tsrv.s
tsrv.wax
cmut449c14b7.dll
hpzl449c14b7.exe
msji449c14b7.dll

*Windowsシステムフォルダは標準では、C:\Windows\System(Windows 95/98/Me)C:\Winnt\System32(Windows NT/2000)またはC:\Windows\System32(Windows XP)です。

当ワームが実行されると下記のレジストリキーに値を追加し、Windows起動時に当ワームが自動実行されるように設定します。

HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows NT\CurrentVersion\Windows

HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run

当ワームは、次のような拡張子を持つファイルをスキャンし、メールアドレスを収集します。

adb
asp
cfg
cgi
dbx
dhtm
eml
htm
html
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xml

当ワームは、収集したメールアドレスを特定のURLにアップロードします。

当ワームは、収集したメールアドレスへ次のようなメールを送信します。

差出人：次のようなアドレスのうちのひとつの後に 4 つのランダムな文字を付けて、偽装します。

Moore2005@mail.com
Susan1952@yahoo.com
Greenpxjzx@fastmail.fm
Jennifer_ukawo@mail.com

件名：次の中からランダムに選択されます。

Good Day
Server Report
hello
picture
Status
test
Error
Mail Delivery System
Mail Transaction Failed

本文：次の中からランダムに選択されます。

The message contains Unicode characters and has been sentas a binary attachment.
Mail transaction failed. Partial message is available.
The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment

添付ファイル：次の中からランダムに選択されます。

body
data
doc
docs
document
file
message
readme
test
text
Update-KB[ランダムな数]-x86

次の拡張子のいずれかが続きます。

.log
.elm
.msg
.txt
.dat

その後にブランクのスペースが続き、その後に次の拡張子のうちのいずれかが続きます。

.bat
.cmd
.scr
.exe
.pif

当ワームは次のURLへ接続し、ファイルをダウンロードします。

http://＜省略＞desunheranwui.com/chr/grw/lt.exe
http://＜省略＞hadefunjinsa.com/chr/grw/lt.exe

当ワームはhosts ファイルへ次のような行を追加します。

127.0.0.1 download.microsoft.com
127.0.0.1 go.microsoft.com
127.0.0.1 msdn.microsoft.com
127.0.0.1 office.microsoft.com
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 [http://]www.microsoft.com/downloads/
Search.aspx?displaylang=en
127.0.0.1 avp.ru
127.0.0.1 www.avp.ru
127.0.0.1 [http://]avp.ru
127.0.0.1 [http://]www.avp.ru
127.0.0.1 kaspersky.ru
127.0.0.1 www.kaspersky.ru
127.0.0.1 [http://]kaspersky.ru
127.0.0.1 kaspersky.com
127.0.0.1 www.kaspersky.com
127.0.0.1 [ http://]kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.kaspersky-labs.com
127.0.0.1 [http://]kaspersky-labs.com
127.0.0.1 avp.ru/download/
127.0.0.1 www.avp.ru/download/
127.0.0.1 [http://]www.avp.ru/download/
127.0.0.1 [ http://]www.kaspersky.ru/updates/
127.0.0.1 [http://]www.kaspersky-labs.com/updates/
127.0.0.1 [http://]kaspersky.ru/updates/
127.0.0.1 [http://]kaspersky-labs.com/updates/
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads5.kaspersky-labs.com
127.0.0.1 [http://]downloads1.kaspersky-labs.com
127.0.0.1 [http://]downloads2.kaspersky-labs.com
127.0.0.1 [http://]downloads3.kaspersky-labs.com
127.0.0.1 [http://]downloads4.kaspersky-labs.com
127.0.0.1 [http://]downloads5.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com/products/
127.0.0.1 downloads2.kaspersky-labs.com/products/
127.0.0.1 downloads3.kaspersky-labs.com/products/
127.0.0.1 downloads4.kaspersky-labs.com/products/
127.0.0.1 downloads5.kaspersky-labs.com/products/
127.0.0.1 [http://]downloads1.kaspersky-labs.com/products/
127.0.0.1 [http://]downloads2.kaspersky-labs.com/products/
127.0.0.1 [http://]downloads3.kaspersky-labs.com/products/
127.0.0.1 [http://]downloads4.kaspersky-labs.com/products/
127.0.0.1 [http://]downloads5.kaspersky-labs.com/products/
127.0.0.1 downloads1.kaspersky-labs.com/updates/
127.0.0.1 downloads2.kaspersky-labs.com/updates/
127.0.0.1 downloads3.kaspersky-labs.com/updates/
127.0.0.1 downloads4.kaspersky-labs.com/updates/
127.0.0.1 downloads5.kaspersky-labs.com/updates/
127.0.0.1 [ http://]downloads1.kaspersky-labs.com/updates/
127.0.0.1 [http://]downloads2.kaspersky-labs.com/updates/
127.0.0.1 [http://]downloads3.kaspersky-labs.com/updates/
127.0.0.1 [http://]downloads4.kaspersky-labs.com/updates/
127.0.0.1 [http://]downloads5.kaspersky-labs.com/updates/
127.0.0.1 [ftp://]downloads1.kaspersky-labs.com
127.0.0.1 [ftp://]downloads2.kaspersky-labs.com
127.0.0.1 [ftp://]downloads3.kaspersky-labs.com
127.0.0.1 [ftp://]downloads4.kaspersky-labs.com
127.0.0.1 [ftp://]downloads5.kaspersky-labs.com
127.0.0.1 [ftp://]downloads1.kaspersky-labs.com/products/
127.0.0.1 [ftp://]downloads2.kaspersky-labs.com/products/
127.0.0.1 [ftp://]downloads3.kaspersky-labs.com/products/
127.0.0.1 [ftp://]downloads4.kaspersky-labs.com/products/
127.0.0.1 [ftp://]downloads5.kaspersky-labs.com/products/
127.0.0.1 [ftp://]downloads1.kaspersky-labs.com/updates/
127.0.0.1 [ftp://]downloads2.kaspersky-labs.com/updates/
127.0.0.1 [ftp://]downloads3.kaspersky-labs.com/updates/
127.0.0.1 [ftp://]downloads4.kaspersky-labs.com/updates/
127.0.0.1 [ftp://]downloads5.kaspersky-labs.com/updates/
127.0.0.1 [http://]updates.kaspersky-labs.com/updates/
127.0.0.1 [http://]updates1.kaspersky-labs.com/updates/
127.0.0.1 [http://]updates2.kaspersky-labs.com/updates/
127.0.0.1 [http://]updates3.kaspersky-labs.com/updates/
127.0.0.1 [http://]updates4.kaspersky-labs.com/updates/
127.0.0.1 [ftp://]updates.kaspersky-labs.com/updates/
127.0.0.1 [ftp://]updates1.kaspersky-labs.com/updates/
127.0.0.1 [ftp://]updates2.kaspersky-labs.com/updates/
127.0.0.1 [ftp://]updates3.kaspersky-labs.com/updates/
127.0.0.1 [ftp://]updates4.kaspersky-labs.com/updates/
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 [ http://]viruslist.com
127.0.0.1 viruslist.ru
127.0.0.1 www.viruslist.ru
127.0.0.1 [http://]viruslist.ru
127.0.0.1 [ftp://]ftp.kasperskylab.ru/updates/
127.0.0.1 symantec.com
127.0.0.1 www.symantec.com
127.0.0.1 [http://]symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 [ http://]customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 [http://]liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 [http://]liveupdate.symantecliveupdate.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 [http://]securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 [http://]service1.symantec.com
127.0.0.1 symantec.com/updates
127.0.0.1 [http://]symantec.com/updates
127.0.0.1 updates.symantec.com
127.0.0.1 [http://]updates.symantec.com
127.0.0.1 eset.com/
127.0.0.1 www.eset.com/
127.0.0.1 [http://]www.eset.com/
127.0.0.1 eset.com/products/index.php
127.0.0.1 www.eset.com/products/index.php
127.0.0.1 [http://]www.eset.com/products/index.php
127.0.0.1 eset.com/download/index.php
127.0.0.1 www.eset.com/download/index.php
127.0.0.1 [http://]www.eset.com/download/index.php
127.0.0.1 eset.com/joomla/
127.0.0.1 www.eset.com/joomla/
127.0.0.1 [http://]www.eset.com/joomla/
127.0.0.1 u3.eset.com/
127.0.0.1 [http://]u3.eset.com/
127.0.0.1 u4.eset.com/
127.0.0.1 [http://]u4.eset.com/
127.0.0.1 www.symantec.com/updates

当ワームは次のようなファイルを作成します。

C:\WINDOWS\system32\acac.dll
C:\WINDOWS\system32\daniwshb.dll
C:\WINDOWS\system32\dsoukbda.exe
C:\WINDOWS\system32\msv1nv4_.dll
C:\WINDOWS\system32\msvfjspr.dll

当ワームは次のようなレジストリキーへ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows NT\CurrentVersion\
Winlogon\Notify\acac
HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\wuapx9tt

当ワームは、次のようなセキュリティ関連のアプリケーションを無効にします。

ZoneAlarm
Sysgate Personal Firewall
Windows Firewall
Symantec Internet Security
Agnitum Outpost Firewall
McAfee Personal Firewall
Kerio WinRoute

ウイルスチェイサーでの検出及び駆除が可能です。
ウイルスチェイサーのアップデートを実行し、ウイルスチェイサーを最新の状態へアップデートして下さい。
メモリ＆ブートセクタ検査を実行しワームが検出されましたら駆除して下さい。
すべてのファイルに対しウイルス検査を実行し、ワームとして検出されたファイルをすべて削除して下さい。
ワームによって変更されたレジストリを修正して下さい。
レジストリエディタは、画面左下にある「スタート」ボタンをクリックし、「ファイル名を指定して実行」を選択し、表示された画面に"regedit"と入力後、「OK」をクリックすると起動します。
Windows 2000/XPをご使用の場合、ワームによって書き換えられたHOSTSファイルを下記の方法で修正して下さい。
1.HOSTSファイルを編集するには、メモ帳、又は他のテキストエディタを開きます。
2.[ファイル]をクリックし、[開く]を選択します。
3.[ファイルの種類]から、[すべてのファイル]を選択し、HOSTSファイルを開きます。
4.ワームによって変更された箇所を削除します。
5．変更を保存し、メモ帳、又はテキストエディタを終了します。

* HOSTSファイルは標準では、
C:\Winnt\System32\drivers\etc\HOSTS (Windows 2000)またはC:\Windows\System32\drivers\etc\HOSTS (Windows XP)です。

--