Win32:Kapucen-B

Win32:Kapucen は Win32/Puce または W32.ECup としても知られているワームで P2P を介して蔓延します。 

解説

Win32:Kapucen-B は自分自身を %Temp dir%\svchost.exe として複製し、さらに以下のレジストリエントリを作成します: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ WindowsServicesStartup = "%Temp dir%\svchost.exe 1" このエントリにより Windows が起動するごとに自動的にワームが活動します。

Win32:Kapucen-B は C, D または E ドライブにある以下のフォルダを検索します:

• \Program files\emule\incoming
• \Download
• \T chargement
• \Incoming
• \Archivos de programa\emule\incoming
• \Program Files\Kazaa Lite K++\My Shared Folder
• \Program files\KMD\My Shared Folder
• \Program files\KaZaA Lite\My Shared Folder
• \Program files\Morpheus\My Shared Folder
• \Program files\BearShare\Shared
• \Program files\Edonkey2000\Incoming
• \My Downloads
• \My Shared Folder
• \Program files\appleJuice\incoming
• \Program files\Gnucleus\Downloads
• \Program files\Grokster\My Grokster
• \Program files\ICQ\shared files
• \Program files\KaZaA\My Shared Folder
• \Program files\LimeWire\Shared
• \Program files\Overnet\incoming
• \Program files\Shareaza\Downloads
• \Program files\Swaptor\Download
• \Program files\WinMX\My Shared Folder
• \Program files\Tesla\Files
• \Program files\XoloX\Downloads
• \Program files\Rapigator\Share

そして F ドライブと G ドライブでは以下のフォルダを検索します

• \Incoming

Win32:Kapucen-B はこれらのフォルダ内にあるすべての ZIP や RAR 圧縮ファイル中に以下の名前で自分自身を複製します:

• Setup.exe
• Install.exe
• _Run_Me_First.exe

感染した圧縮ファイルは他のフォルダにコピーされたり、名前が以下のように変更されるたりすることがあります:

• "<アーカイブ名> updated-fixed [月数]-[日].zip"
• "<アーカイブ名> updated-fixed [月数]-[日].rar"

Win32:Kapucen-B はさらに log.txt を現在のフォルダに作成し、デフォルトのテキストビューワ (通常ノートパッド) で開きます。 このファイルには次のようなテキストが書かれています:

PRE-INSTALL v1.07 (C) pUcE Software 2006 Pre-install has checked your config. Everything is ok, you can now run the setup program Enjoy! 

検知/除去

日付が 2006年 7月 18日 またはそれ以降の avast! VPS ファイル がこのワームを検知できます。