Email-Worm.Win32.Calil

技術的な詳細

Calilは、感染した電子メールメッセージへの添付ファイルとしてインターネット経由で広がるインターネットワームです。

ワームは、以下のプロパティを持つメッセージを送信します。

件名： FW：FW：LILACプロジェクトビデオアタッチメント
添付ファイル名： LILAC_WHAT_A_WONDERFULNAME.avi
アタッチメントサイズ： 12208バイト
メッセージ本文： govt。あなたが知りたがりません

インストール
ワームが初めてコンピュータ上で起動されると、以下のハードコードされた場所に自分自身をコピーしようとします。

C：win98tempLILAC_WHAT_A_WONDERFULNAME.avi C：windowstempLILAC_WHAT_A_WONDERFULNAME.avi.exe C：win95tempLILAC_WHAT_A_WONDERFULNAME.avi.exe C：winnttempLILAC_WHAT_A_WONDERFULNAME.avi.exe C：winmetempLILAC_WHAT_A_WONDERFULNAME.avi.exe C：winxptempLILAC_WHAT_A_WONDERFULNAME.avi.exe

Calilは、次のレジストリ値を書き込んで、Windowsの再起動時に自動的に自身のコピーを起動します。

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun Lilac =（上記で指定したパスの1つ）

次に、ワームは偽のエラーメッセージを表示します。

Windowsエラー54：Media Playerが正しくインストールされていません

複製
ワームは、WindowsおよびOutlookのアドレス帳から電子メールアドレスを取得し、感染したメッセージをこれらのアドレスに送信します。 Outlookを使用して感染したメッセージを送信します。 その他
Calilは、次のレジストリ値を書き込むことによって、システム登録所有者情報を変更します。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RegisteredOwner = xEnOcrAtEs LegalNoticeCaption =所有者：LegalNoticeText =所有者：xEnOcrAtEs

これにより、Windowsの起動時に次のメッセージが表示されます。

所有者：xEnOcrAtEs