27 grudnia 2001

I-Worm.Zoher - pobiera obraz wiadomości z Internetu

Jest to robak internetowy rozprzestrzeniający się w postaci plików załączonych do wiadomości e-mail. Robak ma postać pliku PE EXE o rozmiarze około 6.6 KB i został napisany w języku programowania assembler.

Zainfekowane wiadomości wyglądają następująco:

Temat: Scherzo!
Załączony plik: javascript.exe

Treść wiadomości napisana jest w języku włoskim:

Con questa mail ti e stata spedita la FortUna; non la fortuna e basta, e neanche la Fortuna con la F maiuscola, ma addirittura la FortUna con la F e la U maiuscole. Qui non badiamo a spese. Da oggi avrai buona fortuna, ma solo ed esclusivamente se ti liberi di questa mail e la spedisci a tutti quelli che conosci. Se lo farai potrai:
- produrti in prestazioni sessuali degne di King Kong per il resto della tua vita
- beccherai sempre il verde o al massimo il giallo ai semafori
- catturerai tutti e centocinquantuno i Pokemon incluso l'elusivo Mew
- (per lui) quando andrai a pescare, invece della solita trota tirerai su una sirena tettona nata per sbaglio con gambe umane
- (per lei) lui sara talmente innamorato di te che ti come una sirena tettona nata per sbaglio con le gambe Se invece non mandi questa mail a tutta la tua list entro quaranta secondi,allora la tua esistenza diventera una
grottesca sequela di eventi tragicomici, una colossale barzelletta che suscitera il riso del resto del pianeta, e ticondurra ad una morte orribile, precoce e solitaria... No, dai, ho esagerato: hai sessanta secondi.
Cascaci: e' tutto vero.
Puddu Polipu, un grossista di aurore boreali cagliaritano, spedi' questa mail a tutta la sua lista ed il giorno dopo vinse il Potere Temporale della Chiesa alla lotteria della parrocchia.
Ciccillo Pizzapasta, un cosmonauta campano che soffriva di calcoli, si preoccupo di diffondere questa mail: quando fu operato si scopri' che i suoi calcoli erano in realta diamanti grezzi.
GianMarco Minaccia, un domatore di fiumi del Molise che non aveva fatto circolare questa mail, perse entrambe le mani in un incidente subito dopo aver comprato un paio di guanti.
Erode Scannabelve, un pediatra mannaro di Trieste,non spedi a nessuno questa mail: dei suoi tre figli uno comincio a drogarsi, il secondo entro in Forza Italia e il terzo si iscrisse a Ingegneria.

W celu uruchamiomienia się z zainfekowanej wiadomości robak wykorzystuje dziurę w zabezpieczeniach zwaną IFRAME (podobnie do robaka "Nimda"). Dzięki temu szkodnik może się uruchomić automatycznie podczas przeglądania zainfekowanej wiadomości - użytkownik nie musi uruchamiać załącznika.

Robak nie instaluje się w systemie i nie uruchamia się ponownie.

W celu wysyłania zainfekowanych wiadomości szkodnik wykorzystuje bezpośrednie połączenie z serwerem SMTP. Adresy "ofiar" pobierane są przez robaka z pliku WAB (książka adresowa systemu Windows).

Przed wysłaniem wiadomości robak pobiera z internetu jej obraz.