17 stycznia 2002

I-Worm.Gigger - formatuje dysk i usuwa pliki

Jest to niebezpieczny robak internetowy. Podczas rozprzestrzeniania się wirus wykorzystuje programy Outlook, Outlook Express oraz klienta mIRC. Robak został napisany w językach programowania JavaScript oraz Visual Basic Script (VBS). Zawiera destrukcyjne procedury dodatkowe formatujące dysk C: i usuwające dane ze wszystkich dysków zainstalowanych w komputerze.

Instalacja

Podczas instalowania się w systemie robak tworzy następujące pliki:

  • C:\Bla.hta
  • C:\B.htm
  • C:\Windows\Samples\Wsh\Charts.js
  • C:\Windows\Help\Mmsn_offline.htm

po czym tworzy w rejestrze systemowym własny znacznik:

HKEY_CURRENT_USER\Software\thegrave\badusers\v2.0

Szkodnik kopiuje się na wszystkie udostępnione napędy sieciowe do katalogu:

Windows\Start Menu\Programs\StartUp\Msoe.hta

Rozprzestrzenianie poprzez pocztę elektroniczną

W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje programy Outlook oraz Outlook Express. Wiadomości te wyglądają następująco:

Temat: Outlook Express Update
Treść: MSNSoftware Co.
Załączony plik: mmsn_offline.htm

Ponadto wirus wysyła pod stały adres wiadomość zawierającą adresy własnych "ofiar".

Rozprzestrzenianie poprzez IRC

Robak wyszukuje katalog instalacyjny aplikacji mIRC i tworzy w nim plik "script.ini", który wysyła kopię wirusa (plik "mmsn_offline.htm") do każdego użytkownika przyłączającego się do zainfekowanego kanału IRC.

Procedury dodatkowe

Robak dodaje do pliku Autoexec.bat komendę, która formatuje dysk C: podczas restartu komputera pracującego pod kontrolą systemu operacyjnego Windows 95/98.

Jeżeli dzień aktualnej daty systemowej to 1, 5, 10, 15, lub 20 robak usuwa wszystkie pliki zapisane na dyskach zainstalowanych w komputerze.