WORM_FBOUND.C
詳 細:
活動:
ワームが実行されると、レジストリの以下の場所よりデフォルトで使用されている SMTP サーバの情報・送信メールの「差出人」情報を取得します。
場所:HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001
また、レジストリの以下の場所に指定されている「Windows のアドレス帳ファイル」よりメールアドレスの情報を取得します。
場所:HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4Wab File Name
これらの情報を取得できた場合には、SMTP サーバを使用してメール送信を行います。
メールの宛先に設定されたメールアドレスが、「.jp」ドメイン(日本)の場合とそれ以外の場合で件名を変更します。「.jp」ドメインの場合は、以下の日本語文字列の選択肢よりランダムに選択されます:
・Re:例の件
・Re:重要
・Re:お久しぶりです
・Re:極秘
・Re:こんにちは
・Re:重要なお知らせ
・Re:資料
・例の件
・重要
・お久しぶりです
・極秘
・こんにちは
・重要なお知らせ
・資料
・蛙
・ウソコ
・うんこ
件名:<何らかの日本語文字列>
※宛先メールアドレスが「.jp」ドメインの場合。
または
Important
※宛先メールアドレスが上記以外の場合。
添付ファイル:PATCH.EXE
このワームは、ファイルの作成やレジストリ改変は行いません。
活動は WORM_FBOUND.B と酷似しています。相違点は、感染時のコンピュータシステム時刻を取得するコマンドが省略されていることです。
--
ウイルスコードには以下の文字列を含みます。
‘XXXXXXXXXXXXXXXXXXXXXXX’
‘XXXXX I-Worm.Japanize XXXXX’
‘XXXXXXXXXXXXXXXXXXXXXXX’
|