確認されているキンタマ それぞれ拡張子はexe
CRC16:E837 本体?デスクトップうp型?
CRC16:57E0 亜種?My Document うp型?
CRC16:CFB7 亜種?不明
キンタマの動作
↓ダウソ時、踏ませるための偽装
・自身を踏ませるためのhtmlファイルを作成。またその拡張子を.folderにすることでフォルダに偽装。
アイコンを偽装して「xxx.jpg(長い空白).exe」をjpgファイルに偽装。
↓実行時
・「圧縮(Zip形式)フォルダは無効であるか、または壊れています」というダイアログ表示、実行されたことを隠す。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に名前xxx データC:\Program Files\xxx\xxx.exe登録、常駐する。xxxは共通。exeはキンタマのコピー。
↓発動は再起動後
・C:\Documents and Settings\ユーザー名\Local Settings\Temp にユーザー名.txtを作成。
・regedit.exeがnotepad.exeに書き換えられる。(キンタマがぬるぽを利用?)
・winnyフォルダ(場所は変化する?)にReadMeFilesフォルダ作成。nyのUpfolderに強制的に指定する。
・キンタマ実行時に、乱数(多分0〜99)を発生させる。そして、その乱数×1416(秒)ごとにSSを撮ってうp。
・デスクトップに置いてるファイル2GBまで勝手にzipかlzhに圧縮してうp。(2GB以上あっても2GBまでの分をうp)
・My Documentを検索、ピックアップして圧縮してうp。
↓トリガー不明
・ユーザー名でny使用者であると宣言する内容のメール送信(文面は三種)
・血しぶき表示
・悲鳴WAV再生機能
・ぬるぽ ガッAA表示
自己改造はしない模様。うpファイルに自己のコピーを忍ばせ拡散。亜種がまだある模様。
まとめるとこんな感じ?