30 marca 2004

I-Worm.Sober.e - uruchamia aplikację Paint

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail.

Zainfekowane wiadomości posiadają następujące pola:

  • Temat:

    • Hey!
    • hey?
    • Hi
    • hi
    • Hi :-)
    • Ok ;-)
    • OK OK
    • OK Ok OK!

  • Treść (zawiera kilka słów wybieranych z poniższych możliwości):

    • ;-)
    • HA :-)
    • ha!
    • lol
    • LoL
    • LOL
    • thx
    • THX
    • Thx!
    • yo!

  • Nazwa załącznika: graphic_textdocument.pif

Instalacja

Podczas instalacji szkodnik otwiera program Paint wchodzący w skład systemu Windows. Następnie robak kopiuje się do folderu systemowego Windows z losową nazwą (przykładowo smss32dir.exe lub diagspool.exe) i tworzy w rejestrze systemowym klucz auto-run.

Rozprzestrzenianie

Robak wysyła swoje kopie pod wszystkie adresy e-mail znalezione w następujących typach plików:

  • RTF
  • DOC
  • XLS
  • TXT
  • WAB
  • EML
  • PHP
  • ASP
  • SHTML
  • DBX