6 czerwca 2001

I-Worm.Petik.a - zmienia ikonę przyporządkowaną dla plików EXE.

Jest to robak internetowy rozprzestrzeniający się jako plik MADCOW.EXE załączony do wiadomości e-mail. Szkodnik wysyła wiadomości przy użyciu programu MS Outlook. Może się również rozprzestrzeniać poprzez kanały IRC korzystając z klienta mIRC.

Pierwsze uruchomienie

Podczas pierwszego uruchomienia wirus kopiuje się do dwóch plików:

  • Wininet32.exe w katalogu systemowym Windows;
  • MadCow.exe w katalogu Windows;

i rejestruje się w sekcjach auto-run:

  • w pliku WIN.INI, sekcja [windows], klucz "run=" - w systemach Win9x;
  • w rejestrze systemowym, klucz "Run=" - w systemach WinNT.

Następnie robak tworzy katalog C:\WIN32 a w nim dwa pliki:

  • ENVOIE.BAT - tworzy plik ENVOIE.VBS;
  • ENVOIE.VBS - rozprzestrzenia robaka w zainfekowanych wiadomościach.

Po uruchomieniu skrypt łączy się z programem MS Outlook i wysyła zainfekowane wiadomości do wszystkich kontaktów znalezionych w książce adresowej. Wiadomości wyglądają następująco:

Temat: Pourquoi les vaches sont-elles folles ?
Treść: Voila un rapport expliquant la folie des vaches
Załączony plik: MadCow.exe

Drugie uruchomienie

Podczas następnego uruchomienia (po restarcie systemu Windows) robak tworzy swoją kopię o nazwie MadCow.exe w katalogu C:\WIN32, po czym szuka klienta mIRC w katalogach:

  • C:\MIRC\
  • C:\MIRC32\
  • C:\Program Files\MIRC\
  • C:\Program Files\MIRC32\

Zaatakowany klient mIRC będzie wysyłał kopię robaka (plik MadCow.exe) do wszystkich użytkowników, którzy przyłączą się do zainfekowanego kanału.

Funkcje dodatkowe

Robak tworzy klucz rejestru HKLM\Software\[Atchoum].

Jeśli w systemie nie zostanie znaleziony klient mIRC, szkodnik tworzy plik MSLS.ICO, zapisuje w nim ikonę przedstawiającą diabła i rejestruje ją jako standardową dla plików EXE.

W kodzie szkodnika umieszczone są poniższe teksty:

IWorm.MadCow par PetiK (c)2000
I Love You Maya / Je t'aime