11 września 2002

I-Worm.Gismor - uruchamia się automatycznie

Jest to robak rozprzestrzeniający się poprzez internet jako załącznik zainfekowanej wiadomości e-mail. Wirus ma postać pliku Windows PE EXE o rozmiarze około 8 KB i został stworzony przy użyciu języka programowania Assembler.

Zainfekowane wiadomości wyglądają następująco:

  • Mail From:
  • From: MP3 Deluxe
  • To: My best friends
  • Subject: Phenomenal
  • Body: body is empty
  • Attach: MP3Player.exe

Robak wykorzystuje lukę w zabezpieczeniach, zwaną IFrame, dzięki której może się uruchamiać automatycznie podczas przeglądania zainfekowanej wiadomości.

Podczas instalacji szkodnik kopiuje się do systemowego folderu Windows z nazwą SSMS.EXE i tworzy klucz auto-run w rejestrze systemowym:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje bezpośrednie połączenie z domyślnym serwerem SMTP lub z serwerem "mail.gmx.net".

Adresy "ofiar" pobierane są z wiadomości znajdujących się w skrzynkach pocztowych, przy użyciu funkcji MAPI systemu Windows.