Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

これはワームウイルスです。それはピアツーピアネットワークのKazaaを介して広がります。さらに、いくつかのスパイ機能を実行し、影響を受けるPCにインストールされている特定のゲームのデータを収集します。このワームはWindowsアプリケーション（PE EXEファイル）です。これはVisual Cで書かれており、そのサイズは196 608バイトです。

インストール

インストール中に、ワームは、アーカイブ抽出に関する次の偽のエラーメッセージを生成します。

WinZip Self-Extractor、WinZip Self-Extractorヘッダーが破損しています。考えられる原因：不良ディスクまたはファイル転送エラー。

その後、次の名前のWindowsディレクトリに自身を書き込みます。

mrowyekdc.exe

このワームのインストールは、システムレジストリ内の自動実行キーに登録されます。

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  SVCHOST =％WindowsDir％mrowyekdc.exe

広がる

ワームは、Windowsディレクトリに「User Files」という名前のフォルダを作成し、以下の名前で自身を書き込みます。

スタークラフト+ Broodwar 1.10 map hack.exe
Starcraft + Broodwar 1.10 no-cd hack.exe
Diablo 2 map hack.exe
Diablo 2 no-cd hack.exe
JamellaのDiablo 2 hero editor.exe
ウォークラフト3マップhack.exe
Warcraft 3 stat hack.exe
Warcraft 3 no-cd hack.exe
Warcraft 3 Frozen Throneマップhack.exe
Warcraft 3 Frozen Throne cd-cd hack.exe
Frozen Throneマップhack.exe
Counterstrike hacks.exe
カウンターストライクaim hack.exe

このフォルダは、ファイル交換ネットワークKazaaのローカルコンテンツとしてWindowsシステムレジストリに記録されます。

 HKCUSoftwareKazaaLocalContent
  dir0 = 012345：％Windir％ユーザーファイル
  DisableSharing = "0

その結果、このフォルダに含まれるファイルは、P2Pネットワークの他のユーザにダウンロードできるようになります。

スパイ関数

ワームは、一般的なコンピュータゲーム（Counter Strike、Diablo、Warcraft、Starcraft）に関連するキーをシステムレジストリでチェックし、SMTPサーバー接続を使用して収集したデータをワームの「所有者」に送信します。

雑

ワームは、システムの日付と時刻をチェックします。ワームの有効化の月が8月より早ければ、機能の実行が中止され、システムレジストリ内のすべてのエントリが削除されます。

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	P2P-Worm
プラットフォーム	Win32
説明	技術的な詳細これはワームウイルスです。それはピアツーピアネットワークのKazaaを介して広がります。さらに、いくつかのスパイ機能を実行し、影響を受けるPCにインストールされている特定のゲームのデータを収集します。このワームはWindowsアプリケーション（PE EXEファイル）です。これはVisual Cで書かれており、そのサイズは196 608バイトです。 *インストール* インストール中に、ワームは、アーカイブ抽出に関する次の偽のエラーメッセージを生成します。その後、次の名前のWindowsディレクトリに自身を書き込みます。 mrowyekdc.exe このワームのインストールは、システムレジストリ内の自動実行キーに登録されます。 HKLMSoftwareMicrosoftWindowsCurrentVersionRun SVCHOST =％WindowsDir％mrowyekdc.exe *広がる* ワームは、Windowsディレクトリに「User Files」という名前のフォルダを作成し、以下の名前で自身を書き込みます。スタークラフト+ Broodwar 1.10 map hack.exe Starcraft + Broodwar 1.10 no-cd hack.exe Diablo 2 map hack.exe Diablo 2 no-cd hack.exe JamellaのDiablo 2 hero editor.exe ウォークラフト3マップhack.exe Warcraft 3 stat hack.exe Warcraft 3 no-cd hack.exe Warcraft 3 Frozen Throneマップhack.exe Warcraft 3 Frozen Throne cd-cd hack.exe Frozen Throneマップhack.exe Counterstrike hacks.exe カウンターストライクaim hack.exe このフォルダは、ファイル交換ネットワークKazaaのローカルコンテンツとしてWindowsシステムレジストリに記録されます。 HKCUSoftwareKazaaLocalContent dir0 = 012345：％Windir％ユーザーファイル DisableSharing = "0 その結果、このフォルダに含まれるファイルは、P2Pネットワークの他のユーザにダウンロードできるようになります。 *スパイ関数* ワームは、一般的なコンピュータゲーム（Counter Strike、Diablo、Warcraft、Starcraft）に関連するキーをシステムレジストリでチェックし、SMTPサーバー接続を使用して収集したデータをワームの「所有者」に送信します。雑ワームは、システムの日付と時刻をチェックします。ワームの有効化の月が8月より早ければ、機能の実行が中止され、システムレジストリ内のすべてのエントリが削除されます。
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

P2P-Worm.Win32.Gotorm

技術的な詳細