W32/Forlorn-D は peer-to-peer (P2P) ワームです。KaZaA や Morpheus ネットワーク共有ユーティリティを経由して拡散します。
最初にワームが実行されると、自身を Windows フォルダにファイル名 EXECFG4.EXE としてコピーし、以下のレジストリ エントリをコピーのパスとして設定し、Windows が再起動したときにワームが実行されます。 HKLMSoftwareMicrosoftWindowsCurrentVersionRunexecfg4当該ワームは以下のレジストリ エントリを追加し KaZaA と Morpheus ネットワークで共有されているフォルダを検索します。 HKLMSoftwareKazaaLocalContent HKLMSoftwareMorpheusLocalContent HKCUSoftwareKazaaLocalContent HKCUSoftwareMorpheusLocalContent もし値が見つからない場合はフォルダ C:windowsSysConfig が使用されます。このフォルダの中にワームの 73 個のコピーが異なるファイル名で生成されます。例えば: [DiVX] Harry Potter And The Sorcerors Stone Full Downloader.exe Age of empires 2 crack.exe Borland Delphi 6 Key Generator.exe Britney spears nude.exe DivX codec v6.0.exe GTA3 crack.exe Microsoft Windows XP crack pack.exe Windows XP serial generator.exe Winrar + crack.exe ZoneAlarm Firewall Full Downloader.exe