I-Worm.Sidex - umieszcza w systemie konia trojańskiego
Zainfekowane wiadomości wyglądają następująco:
Temat: Sites Pornos
Treść:
Tudo bem to te enviando uma lista dos melhores sites pornos da uma olhada depois me avisa c voce gostou até mais um Abraçăo Do seu melhor amigo ;-)
Załączony plik: SitesDeSexo.doc.exe
Robak uaktywnia się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załącznik.
Instalacja
Podczas instalowania się w systemie robak kopiuje się do katalogu systemowego Windows z nazwą "VxBrasil.exe" i rejestruje tę kopię w pliku WIN.INI:
[windows]
run=%SystemDir%\VxBrasil.exe
gdzie %SystemDir% jest nazwą katalogu systemowego Windows.
Rozprzestrzenianie
W celu wysyłania zainfekowanych wiadomości robak korzysta z funkcji MAPI i "odpowiada" na wszystkie wiadomości zapisane w skrzynkach pocztowych.
Sieć lokalna
Robak skanuje zasoby sieciowe w poszukiwaniu pliku WIN.INI. Jeżeli sieciowy dysk zawierający ten plik zostanie znaleziony robak kopiuje się na niego z nazwą "666hacked.exe" i rejestruje swoją kopię w pliku WIN.INI.
Funkcje dodatkowe
Robak instaluje w zainfekowanym systemie konia trojańskiego "Backdoor.DRA". W tym celu rozpakowuje go z własnego kodu, zapisuje na dysku w katalogach C:\ALEVIRUS.EXE oraz C:\BACK.EXE i uruchamia.
Szkodnik tworzy również na dysku plik C:\SitesDeSexo.doc, zapisuje w nim tekst:
Estes săo os melhores sites de SEXO da internet confira :)
oraz listę stron WWW zawierających materiały pornograficzne i otwiera utworzony plik.