25 września 2001

I-Worm.Vote - tym razem nie warto głosować

Jest to robak internetowy rozprzestrzeniający się poprzez pocztę elektroniczną przy użyciu programu MS Outlook. Po uruchomieniu robak wysyła zainfekowane wiadomości do użytkowników zapisanych w książce adresowej, po czym nadpisuje wszystkie pliki HTML zapisane na lokalnych dyskach. Podczas kolejnego uruchomienia systemu Windows robak próbuje usunąć wszystkie pliki zapisane w folderze Windows.

Robak dociera do komputera w postaci pliku uruchamialnego załączonego do wiadomości e-mail. Wiadomość wygląda następująco:

Temat: Fwd:Peace BeTweeN AmeriCa And IsLaM !
Treść: Hi iS iT A waR Against AmeriCa Or IsLaM !?
Let's Vote To Live in Peace!

Nazwa załączonego pliku: WTC.exe

Robak nie uruchamia się samoczynnie - uaktywnia się tylko gdy użytkownik uruchomi załączony do wiadomości plik.

Po uruchomieniu robak wysyła zainfekowane wiadomości, po czym otwiera dwa okna przeglądarki internetowej i zmienia stronę startową programu Internet Explorer na własną.

Następnie wirus tworzy dwa różne pliki VBS. Pierwszy posiada nazwę "MixDaLaL.vbs", umieszczany jest w folderze Windows i natychmiast uruchamiany. Jest to skrypt wyszukujący pliki posiadające rozszerzenia HTM oraz HTML i nadpisuje je tekstem:

AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>> ZaCkEr is So Sorry For You.

Drugi z plików umieszczany jest w folderze systemowym Windows z nazwą "ZaCker.vbs". Plik ten umieszczany jest w kluczu auto-run rejestru systemowego. W rezultacie robak będzie uruchamiany wraz z każdym startem systemu operacyjnego. Po uruchomieniu robak próbuje usunąć wszystkie pliki zapisane w folderze Windows i nadpisać plik AUTOEXEC.BAT komendą, która niszczy wszystkie dane na dysku C:. Następnie szkodnik wyświetla wiadomość:

I promiss We WiLL Rule The World Again...By The Way,You Are Captured By ZaCker !!!

Ostatnią czynnością robaka jest zrestartowanie komputera, co może doprowadzić do zniszczenia systemu operacyjnego oraz wszystkich danych przechowywanych na dysku twardym.