I-Worm.Melare - usuwa pliki
Szkodnk aktywuje się z zainfekowanej wiadomości e-mail tylko wtedy, gdy użytkownik uruchomi załącznik. Prawdziwe rozszerzenie robaka (EXE) jest ukryte pod postacią JPG.
Instalacja
Podczas instalacji robak kopiuje się do folderu Windows z nazwą "csrss.EXE" i tworzy w rejestrze systemowym klucz auto-run:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SystemSARS32 = %Folder Windows%\csrss.EXE
Rozprzestrzenianie
Robak wysyła zainfekowane wiadomości do wszystkich użytkowników zapisanych w książce adresowej programu MS Outlook. Wiadomości te wyglądają następująco:
Temat: Alert! SARS Is being Spread!
Treść: Hi!, This is a beta test SARS. Please check an attachment!
Nazwa załącznika: sars_image.jpg
Funkcja dodatkowa
1, 4, 8, 12, 16, 20, 24 oraz 28 dnia każdego miesiąca robak usuwa wszystkie pliki DLL, NLS oraz OCX zapisane w bieżącym folderze (w większości przypadków jest to folder Windows).