4 września 2001

I-Worm.Apost - kolejny robak na wolności

Jest to robak internetowy rozprzestrzeniający się poprzez Internet w postaci pliku załączonego do zainfekowanych wiadomości e-mail. Wirus ma postać pliku PE EXE działającego w systemie Windows i posiadającego rozmiar 25 KB. Szkodnik został stworzony przy użyciu języka programowania Visual Basic.

Zainfekowana wiadomość wygląda następująco:

Temat: As per your request!
Załączony plik: README.EXE
Treść:

Please find attached file for your review.
I look forward to hear from you again very soon. Thank you.

Robak uaktywnia się na komputerze gdy użytkownik kliknie na załączonym do wiadomości pliku. Następnie szkodnik instaluje się w systemie, uruchamia procedurę rozprzestrzeniającą i wyświetla dwa fałszywe komunikaty:

Urgent!
[ Open ]

WinZip SelfExtractor: Warning
CRC error: 234#21

Podczas instalowania się w systemie robak kopiuje się do katalogu Windows z nazwą README.EXE i umieszcza swój plik w kluczu auto-run rejestru systemowego:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
macrosoft = README.EXE

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje program MS Outlook oraz jego książkę adresową.

Ponadto szkodnik kopiuje się z nazwą README.EXE do katalogu głównego wszystkich lokalnych oraz sieciowych dysków.