Win32/Doomjuice.B ワームは、Win32/Doomjuice.A の亜種です。このワームのサイズは、5,120バイトで、UPXユーティリティで圧縮されています。解凍するとサイズは6,656バイトになります。Doomjuice.A
ワームとは異なり、Doomjuice.B ワームは、MyDoom.A ワームのソースコードを含んでいません。
注意:以下の説明において、%windir% はWindows OS がインストールされたディレクトリ名を意味します。また、%system%
は %windir% にあるサブディレクトリ "System" または"
System32" を意味します。
このワームは、自分自身の唯一のコピーだけが感染したコンピュータ上で実行されるようにします。
(Mutexという仕組みで、自分自身が二重起動されないようにします。)
このワームは、regedit.exe という名前で、%system% または %temp% ディレクトリに自分自身をコピーします。
このワームは、次のレジストリキーに、NeroCheck という名前のエントリーを作成します。
HKLM/Software/Microsoft/CurrentVersion/Run
または
HKCU/Software/Microsoft/CurrentVersion/Run
このワームの拡散アルゴリズムは、Doomjuice.A に似ており、MyDoom.A ワームによって作成されたバックドアを利用しています。このワームは感染を広げるために、ランダムなIPアドレスを生成して、感染可能なコンピュータのポート3127番に接続することを試みます。
このワームは、www.microsoft.com
へのサービス拒否(DoS: Denial of Service)攻撃を行います。
この攻撃は、1月を除く毎月8日から12日まで行われます。
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.621にて対応しています。
NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。
