4 lipca 2001

I-Worm.Menace - pierwszy robak korzystający z klienta America OnLine

Jest to robak internetowy rozprzestrzeniający się przy użyciu klienta AOL. Wirus jest aplikacją Win32 (plik PE EXE) o rozmiarze około 86 kB napisaną w języku programowania VisualBasic 6.0.

Robak dociera do komputera w postaci pliku SOFUNNY.EXE załączonego do wiadomości e-mail wyglądającej następująco:

Temat 1: Fwd: This is great! =)
Temat 2: Fwd: This is hilarious! =)
Treść: You guys have to download this! This really is funny!

Podczas rozprzestrzeniania się robak czeka aż klient AOL będzie aktywny, manipuluje jego funkcjami, uzyskuje dostęp do poczty otrzymanej i odpowiada na wszystkie listy zainfekowanymi wiadomościami.

Szkodnik posiada również możliwość wykradania i wysyłania do swojego twórcy haseł systemowych oraz loginów i haseł AOL.

Po uruchomieniu robak wyświetla fałszywą wiadomość:

Fatal Error #6834
An unknown error has occurred.

Następnie kopiuje się do katalogu Windows z poniższymi nazwami:

C:\WINDOWS\msdos423.exe
C:\WINDOWS\SOFUNNY.exe

Jeden z tych plików umieszczany jest w sekcji auto-run rejestru systemowego:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
msdos423 = c:\windows\msdos423.exe

Ponadto wirus tworzy dodatkowy plik C:\WINDOWS\msdos423.ini, w którym przechowuje swoje dane:

[Setup]
Copied = True
Sent = True
Uploaded = True

W kodzie szkodnika zapisana jest sygnatura autora:

AOL PWS for version 4, 5, & 6. Now a worm too! By Menace