8 lipca 2004

Worm.P2P.Irkaz - wykorzystuje program KaZaA

Jest to prymitywny, nieszkodliwy robak. Ma postać pliku PE EXE o rozmiarze 6 176 bajtów i powstał przy użyciu języka programowania C.

Po uruchomieniu robak kopiuje się do foldera systemowego Windows z nazwą netdll32 i tworzy klucze auto-run w rejestrze systemowym:

  • [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  • [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]

Po wykryciu programu KaZaA szkodnik kopiuje się do foldera współdzielonego z nazwą sex_xxx_teen_porn_teen_sex.jpg.exe.

Robak zmienia stronę startową przeglądarki Internet Explorer.