I-Worm.Gizer.c - infekuje archiwa ZIP
Od: Microsoft Critical Response Team critical@microsoft.com
Temat: Urgent message for all Windows users
Treść:
Dear Windows User,
The Microsoft Security Experts have discovered a bug inside the Windows files that poses a security threat to all versions of Windows newer than Windows98 (including Windows98). Virus experts have reported that few known viruses have been identified using this exploit, but more are expected. A patch has been supplied with this email and will fix the security hole.
**THIS MESSAGE WAS DELIVERED BY THE AUTHOR FROM ENERGY WORM !!!**
Nazwa załącznika: patch.exe
Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załączony do niej plik.
Szkodnik nie instaluje się w systemie i nie uruchamia się ponownie (wirus może się uruchomić tylko po uruchomieniu załącznika wiadomości).
Po uruchomieniu szkodnik kopiuje się do bieżącego folderu z nazwą windows.tmp i wyświetla następujący tekst:
Could not patch due to bad CRC!
Rozprzestrzenianie: poczta elektroniczna
W celu wysyłania zainfekowanych wiadomości robak łączy się z serwerem SMTP określonym jako domyślny w systemie Windows. Robak wysyła wiadomości do wszystkich użytkowników zapisanych w książce adresowej Windows (WAB).
Rozprzestrzenianie: archiwa
Robak dodaje swoją kopię do wszystkich archiwów ZIP zapisanych na twardych dyskach podłączonych do komputera.