Virus.Win32.Alman

このウイルスは、被害者のコンピュータ上のすべてのディスクおよびアクセス可能なネットワークフォルダに、書き込み可能なすべてのWindows実行可能ファイル（PE-EXE）を感染させます。このウイルスは、以下の名前のファイルには感染しません。

 wooolcfg.exe



woool.exe



ztconfig.exe



patchupdate.exe



trojankiller.exe



xy2player.exe



flyff.exe



xy2.exe



au_unins_web.exe



cabal.exe



cabalmain9x.exe



cabalmain.exe



meteor.exe



patcher.exe



mjonline.exe



config.exe



zuonline.exe



userpic.exe



main.exe



dk2.exe



autoupdate.exe



dbfsupdate.exe



asktao.exe



sealspeed.exe



xlqy2.exe



game.exe



wb-service.exe



nbt-dragonraja2006.exe



dragonraja.exe



mhclient-connect.exe



hs.exe



mts.exe



gc.exe



zfs.exe



neuz.exe



maplestory.exe



nsstarter.exe



nmcosrv.exe



ca.exe



nmservice.exe



kartrider.exe



audition.exe



zhengtu.exe 

ウイルスは、その実行可能ファイルを感染しているファイルの先頭に書き込んで、ファイルの元の内容を下に移動します。

ウイルスは、ネットワークフォルダにあるファイルに感染するために、管理者アカウントと次のいずれかのパスワードを使用してリモートマシンに接続しようとします。

 zxcv



qazwsx



qaz



qwer



！@＃$％^＆*（）



！@＃$％^＆*（



！@＃$％^＆*



！@＃$％^＆



！@＃$％^



！@＃$％



aasdf 



sdfgh



！@＃$



654321



123456



12345



1234



123



111 

このウイルスは、リモートの悪意のあるユーザーのサイトに、Cディスク上の空き容量、犠牲PC上のオペレーティングシステムとInternet Explorerのバージョン、およびリストされた名前のうちの1つを持つシステム内のドライバの存在に関する情報も送信します以下：

 Hooksys



KWatch3



KregEx



KLPF



NaiAvFilter1



NAVAP



AVGNTMGR



AvgTdi



nod32drv



PavProtect



TMFilter



BDFsDrv



VETFDDNT 

この情報は、リモートの悪意のあるユーザーのサイトに次の要求で送信されます。

 http：//****mrw0rldwide.com/co.asp？action = post＆HD = <空き容量>＆OT = <オペレーティングシステムのバージョン>＆IV = <Internet Explorerのバージョン>＆AV = <インストールされたドライバ> 

ウイルスは、以下のリンクからダウンロードされるファイルのリストも取得します。

その後、リストからファイルをダウンロードし、Windowsの一時ディレクトリに保存して実行用に起動します。

執筆時点で、ウイルスは次のリンクからファイルをダウンロードしました：

 http：//down****net/css.jpg



http：//down****net/wow.jpg 

次のように保存しました。

％Temp％css.jpg – このファイルのサイズは62 792バイトです。 Kaspersky Anti-Virusでは、Trojan-PSW.Win32.OnLineGames.afdとして検出されます。

％Temp％wow.jpg – このファイルのサイズは40 241バイトです。 Kaspersky Anti-VirusによってTrojan-PSW.Win32.WOW.svとして検出されます。