12 listopada 2001

I-Worm.Kadra - rozsyła się przy użyciu domyślnego klienta MAPI

Jest to robak internetowy działający w systemach Win32. Rozprzestrzenia się w postaci wiadomości e-mail przy użyciu domyślnego klienta MAPI. Po uruchomieniu się robak umieszcza w systemie swoją kopię i tworzy dla niej klucz auto-run rejestru systemowego.

Robak umieszcza swoje kopie w następujących lokalizacjach %WINDOWS%\Win32Dlw.EXE oraz %SYSTEM%\Win32Exp.EXE, po czym tworzy w rejestrze systemowym klucz auto-run zapewniający mu uruchomienie wraz z każdym startem systemu operacyjnego:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run RunExplorer=%SYSTEM%\Win32Exp.EXE

We wrześniu robak wyświetla na ekranie tekst:

Kad sve izgleda da umire,...ono se ustvari radja!

Następnie robak wyświetla okno zatytułowane "..." i zawierające poniższy tekst:

Moja jutra su sve jasnija,
Moja snaga je prodornija,
Moje rijeci silno odjekuju
Moj mac je ostriji,
Moje noci su sve hladnije.
...ali dan je blizi kad ce
ljudi shvatiti da su samo,
i nista drugo nego ono sto
sam i JA!

Po wyświetleniu tej wiadomości robak pozostaje w uśpieniu przez dwie minuty, po czym wysyła zainfekowane wiadomości do wszystkich nadawców wiadomości zapisanych w skrzynce odbiorczej domyślnego klienta MAPI.

Wiadomości wysyłane przez robaka wyglądają następująco:

Temat: Bin Ladenov zivot.
Załączony plik: Bin Ladenov Zivot.exe

Treść wiadomości:

Ako jos do sada niste znali ko je Bin Laden onda
vjerovatno cete naci ovaj dokument interesantnim
u kojem je prikazano nekoliko vaznih momenata u,
u njegovom zivotu, cak dok je jos radio pri CIA!