11 sierpnia 2002

I-Worm.Langex - odpowiada na wiadomości

Jest to robak rozprzestrzeniający się poprzez internet jako załącznik zainfekowanych wiadomości e-mail. Wirus ma postać pliku PE EXE o rozmiarze około 3 KB i został stworzony przy pomocy języka programowania Assembler.

Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załącznik. Szkodnik nie instaluje się w systemie.

W celu rozsyłania zainfekowanych wiadomości robak wykorzystuje funkcje MAPI systemu Windows i "odpowiada" na wiadomości zapisane w skrzynce odbiorczej:

Temat: temat oryginalnej wiadomości poprzedzony ciągiem "Re:".

Treść wiadomości rozpoczyna się od tekstu:

CLIENT NOTICE: the recipient viewed your message and this is the reply message (original version of your message is shown after this text). Due to the differences of text encoding method used by the recipient and the method used on this system, the needed language pack is attached to this message. If the the corrections will be applied, you will be able to read the reply message.

W dalszej części znajduje się oryginalna treść wiadomości. Robak dołącza do wysyłanych odpowiedzi plik LANG.EXE. Po wysłaniu odpowiedzi oryginalna wiadomość jest usuwana.

W kodzie robaka zapisana jest sygnatura autora:

Simple MAPI demonstration : kahuna/TKT'