Win32:VB-CD 通称 Kamasutra
Win32:VB-CD [Wrm] や Win32:VB-CD2 [Wrm] は Nyxem-E, Blackmal-F, MyWife-D, Grew または一部地域やニュースでは Kamasutra としても知られているメールワームです。
このワームは電子メールやネットワークの共有によって拡散します。 このワームはアンチウイルスやセキュリティプログラムのさまざまなプロセスを中止し、それらのファイルを削除することができます。 このワームは破壊的で毎月3日に決まったタイプのファイルを削除しようとします。
ワームが実行されると以下のファイルのうちひとつを作成します:
- %windows%\Rundll16.exe
- %system%\New winzip file.exe
- %system%\sample.zip
- %system%\winzip_tmp.exe
さらに:
- %system%\scanregw.exe
- %system%\update.exe
- %system%\sample.zip
- %system%\winzip.exe
このワームは Windows のレジストリキーを用いて自動起動します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runその項目 "ScanRegistry” は “%System%\scanregw.exe /scan” という値を持ちます。
そしてワームは感染したコンピュータのドキュメントからメールアドレスを収集します。 感染したメールは以下のような件名になります:
*Hot Movie*
A Great Video
Arab sex DSC-00465.jpg
eBook.pdf
Fuckin Kama Sutra pics
Fw:
Fw: DSC-00465.jpg
Fw: Funny :)
Fw: Picturs
Fw: Sexy
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Re:
Re: Sex Video
School girl fantasies gone bad
The Best Videoclip Ever
the file
Word file
You Must View This Videoclip!
感染した添付ファイルは以下のような名前になります
007.pif
04.pif
677.pif
document.pif
DSC-00465.Pif
eBook.PIF
image04.pif
New_Document_file.pif
photo.pif
School.pif
ときどき添付ファイルは MIME にコード化され以下のような名前になります。
3.92315089702606E02.UUE
Attachments00.HQX
Attachments001.BHX
Attachments[001].B64
eBook.Uu
Original Message.B64
SeX.mim
Sex.mim
Video_part.mim
WinZip.BHX
Word_Document.hqx
Word_Document.uu
このような場合には、ワームを解凍し実行するための特別なツールが必要です。
毎月3日にワームは次の拡張子のついたデータファイルを削除しようとします *.dmp, *.doc, *.mdb, *.mde, *.pdf, *.pps, *.ppt, *.psd, *.rar, *.xls, *.zip
2006年 1月 17日付けまたはそれ以降の VPS ファイル がこのワームを検知できます。
ウイルス
サブスクリプションサービス
