20 grudnia 2001

I-Worm.Maldal - usuwa pliki i uruchamia wirusa skryptowego

Jest to niebezpieczny robak internetowy rozprzestrzeniający się w postaci pliku załączonego do wiadomości e-mail. Szkodnik instaluje w systemie skryptowego wirusa "VBS.Dismissed" i zawiera destrukcyjne procedury dodatkowe. Robak ma postać aplikacji Windows PE EXE o rozmiarze około 36,5 KB i został napisany w języku programowania Visual Basic 5.

Zainfekowane wiadomości e-mail wyglądają następująco:

Temat: Hi lub Happy New Year

Treść:

Hii
I can't describe my feelings
But all i can say is
Happy New Year :)
bye

Załączony plik: Christmas.exe

Robak uaktywnia się tylko wtedy, gdy użytkownik uruchomi załączony do wiadomości plik. Podczas pierwszego uruchomienia wirus wyświetla poniższy obrazek:

Instalacja

Podczas instalacji szkodnik kopiuje się z nazwą "Christmas.exe" do katalogu systemowego Windows i tworzy dla tego pliku klucz auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Zacker = \Christmas.exe

Rozprzestrzenianie poprzez e-mail

Robak wysyła wiadomości przy użyciu programu MS Outlook. Zainfekowana korespondencja rozsyłana jest do wszystkich użytkowników zapisanych w książce adresowej.

Instalowanie wirusa skryptowego

Robak zmienia stronę startową programu Internet Explorer na:

http://geocities.com/jobreee/ZaCker.htm

Strona ta zawiera plik HTM w którym zapisany jest skryptowy wirus "VBS.Dismissed". Jest on uruchamiany wraz ze startem programu Internet Explorer.

Destrukcyjna funkcja dodatkowa

Robak blokuje klawiaturę komputera i podejmuje próbę usunięcia wszystkich plików zapisanych w katalogu systemowym Windows.