22 marca 2002

I-Worm.MyLife.b - usuwa pliki

Jest to robak internetowy rozprzestrzeniający się poprzez Internet jako zainfekowany załącznik wiadomości e-mail. Wirus ma postać pliku PE EXE o rozmiarze 11 KB i został utworzony przy użyciu języka programowania Visual Basic.

Zainfekowane wiadomości wyglądają następująco:

Temat: bill caricature

Treść:

Hiiiii
How are youuuuuuuu?
look to bill caricature it's vvvery verrrry ffffunny :-) :-)
i promise you will love it? ok
buy
========No Viruse Found========
MCAFEE.COM

Nazwa załącznika: CARI.SCR

Robak uaktywnia się tylko wtedy, gdy użytkownik uruchomi zainfekowany plik załączony do wiadomości e-mail.

Podczas pierwszego uruchomienia robak wyświetla na ekranie następujący obrazek:

Instalowanie

Podczas instalacji robak kopiuje się z nazwą "cari.scr" do katalogu systemowego Windows i tworzy dla tej kopii klucz auto-run w rejestrze systemowym:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
win=%SYSTEM%\cari.scr

gdzie %SYSTEM% jest nazwą katalogu systemowego Windows.

Rozprzestrzenianie

W celu wysyłania zainfekowanych wiadomości robak korzysta z programu Microsoft Outlook i jego książki adresowej. Kontakty są również pobierane z baz danych programu MSN Messenger.

Procedura dodatkowa

Po zainstalowaniu się w systemie (oraz restarcie komputera) robak sprawdza bieżący czas systemowy. Jeżeli liczba godzin jest większa niż 8, szkodnik usuwa wszystkie pliki zapisane na napędach C:, D:, E: oraz F:, jak również pliki .sys zapisane w katalogu Windows oraz pliki *.vxd, *.sys, *.ocx, *.nls z katalogu systemowego Windows.