Email-Worm.Win32.Ligon

メインワームコンポーネントは、電子メールに添付された他のマシンに16個の異なる名前を持つEXEファイルとして自分自身を送信します（以下を参照）。広がりながら、MAPIを使用して電子メールに接続します。

また、メインコンポーネントは、ローカルディスクにVBSスクリプトヘルパ（ローカルネットワークワーム）を追加し、それを生成します。

主成分

感染したファイルが（感染したメッセージや他のソースから起動されると）起動すると、ワームは自身をWindowsディレクトリに "PCpower.exe"でコピーし、Windowsシステムディレクトリに "MyLinong.exe"という名前でコピーします。ワームは、Windowsシステムディレクトリに "MyLinong.VBS"ファイル（VBSヘルパー）をドロップします。

これらのファイルは、システムレジストリの自動実行キーに登録されます。

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
PCPower =％windir％PCpower.exe
MyLinong =％winsystemdir％MyLinong.exe
Linong =％winsystemdir％MyLinong.vbs

EXEファイルは2つのワームコピーで、再起動するたびにWindowsによってアクティブになります。 VBSファイルはVisualBasicスクリプトプログラムです（下記参照）。

広がる

広がるために、ワームは50個の最初のメッセージについて受信トレイをスキャンし、添付ファイルが少なくとも1つあるメッセージを取得し、感染したメッセージで応答します。感染したメッセージには、件名、本文、添付ファイルが16種類からランダムに選択されています。

添付ファイル名：

CFusion.Exe
PatchFusion.exe
MyLinong.Exe
夜のライトアップ
StarMild.exe
Kiss.Exe
Sexy.Exe
Popeye.exe
Olive.exe
BullBull.exe
Moly.exe
Lovely.exe
868879.exe
help.exe
BillGate
Mikropos

科目：

CFusionからの情報
あなたのCFusionにパッチを当てる
まだ覚えている
ライト・アップ・ザ・ナイト
男の選択
キスして
セクシーモデル
ポパイ漫画
オリーブ＆ポパイ
MyGirlFriend Dogs
マイガールフレンドの犬
スウィートラブリー
パスワード
助けが必要
ビル
Mikropos

メッセージ本文：

無料でCfusion Onlineをアップデートすることができます
あなたはCfusionを修正する準備はできていますか、更新してください
彼女は私のセクシーなLinongです
ライトアップザナイトパーティー…
あなたは男か女ですか？これは私たちのサイトからのスポンサーです。
あなたのガールフレンドまたはあなたのボーイフレンドにキスをする100の方法
あなたは彼女のようなセクシーな女の子を見たことがありますか？
新しいポパイの新しい漫画ネットワーク
オリーブとポパイ漫画
いい犬…
グッドドッグとスマートドッグ
私のIcq Friend SweetとLovely
ここヌードパスワードウェブサイトのリスト。それらのすべてがまだアクティブであり、そのうちのいくつかは死のパスワードです
何か手伝いましょうか ？インターネットでお金を得る。ヘルプを読むことができます
ビル..
Mikroposネットワークからの新しいMikroposソフトウェア

ペイロード

ワームは以下のディレクトリを作成します。

"C：Linong私はとても大好きです。

％nは0〜500の数字です（場合によっては、ディレクトリを作成できないため、ディレクトリ番号の上限は500未満になることがあります）。

ワームは次のメッセージを表示します。

私からのメッセージ
MyLinongにお誕生日おめでとう
まだ私を覚えています…

今日私はあなたにもう一度伝えたい
私は大好きです。
ちょっとユーザー、私に世界を教えてください助けてください
それは私が彼女をとても愛すること

こんにちは..私はあなたを愛しています。
しかし今日、私たちはGoodByeを永遠に
私は次の人生でUを待ちます。

VBSヘルパー

これは、VBS電子メールワーム「I-Worm.Linong」の変更であり、メインのEXEコンポーネントへのヘルパーとして機能します。

Windowsで実行すると（レジストリのRun = keyに登録されているため）、ローカルマシンのIPアドレスを取得し、サブネットをスキャンします（たとえば、ローカルマシンのIPが10.10.10.1である場合、ワームは、10.10.10.nというアドレスを使用してすべてのマシンに接続しようとします（nは1から254までの数字です）。

そのようなアドレスを持つマシンがある場合、ワームはC：ドライブへのアクセスを試み、そこに自分自身をコピーして次のディレクトリにコピーします。

"C："
"C：windowsstartm〜1programsstartup"
"C：windows"
"C：windowsstart menuprogramsstartup"

（このルーチンにはバグがあり、このワームはこれを実行できません）。

ワームは、感染マシンからEXEコンポーネントを送信しようとします。メッセージには次のものが含まれます。

件名：このメールの1つ
ボディ：真実のストーリー….
添付： mylinong.exe

（このルーチンにもバグがあり、ワーム自体が広がっていません）。

このワームは、「I-Worm.Linong」と同様に、以下を実行します。

％windows％mylinong.txt.shs
％windows％SYSTEMKern32Lin.vbs
％windows％Vbrun32DLL.vbs
％windows％SYSTEMmylinong.TXT.vbs

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices Vbrun32DLL =％windows％Win32DLL.vbs

次に、このワームはHTAファイルを作成して開き、結果としてテキストを表示します。

わたしは、あなたを愛しています
Linong
あなたは私の愛の愛です、5173n1n3ty31gh7
ほぼ1年..ミス・U
01 * 29 ** 879
01 * 29 ** 868
* – *