14 marca 2002

I-Worm.Zircon.c - japoński robak

Jest to robak rozprzestrzeniający się poprzez Internet jako plik załączony do wiadomości e-mail. Wirus ma postać pliku PE EXE o rozmiarze około 12 KB i został napisany w języku programowania Assembler.

Zainfekowane wiadomości wyglądają następująco:

Temat: Important lub temat w języku japońskim (17 wariantów)
Treść: [pusta]
Załączony plik: patch.exe

Szkodnik aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załączony plik. Robak nie instaluje się w systemie i nie uruchamia się ponownie.

Rozprzestrzenianie

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje domyślny serwer SMTP. Wirus łączy się z tym serwem i przejmuje nad nim kontrolę. Adresy "ofiar", do których robak wysyła zainfekowane wiadomości pobierane są z książki adresowej systemu Windows. Jeżeli adres, pod który wysyłana jest wiadomość zawiera na końcu ciąg ".jp" robak umieszcza temat w języku japońskim. W przeciwnym wypadku tematem wiadomości jest "Important".

W kodzie szkodnika umieszczony jest tekst:

XXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXX
I-Worm.Japanize
XXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXX