IRC-Worm.Adrenaline

Jest to robak infekuj膮cy komputery pracuj膮ce pod kontrol膮 system贸w Windows. Rozprzestrzenia si臋 on poprzez kana艂y IRC. Ma posta膰 pliku wykonywalnego Windows, napisanego w j臋zyku MS Visual C++, skompresowanego narz臋dziem PECompact (rozmiar pliku przed kompresj膮: 35 KB, po kompresji: 65 KB).

Gdy zainfekowany plik jest uruchamiany, wirus wyszukuje pliki EXE w katalogu Windows a nast臋pnie infekuje je. Podczas infekcji wirus przemieszcza zawarto艣膰 pliku o 35 KB, a nast臋pnie dopisuje si臋 na zwolnionym miejscu, na pocz膮tku pliku. Wirus zwraca uwag臋 na nazwy infekowanych plik贸w i nie infekuje plik贸w o nazwach rozpoczynaj膮cych si臋 od liter E', 'P', 'R', 'T', 'W'. Nie infekowane s膮 r贸wnie偶 pliki, kt贸rych nazwy jako trzeci膮 liter臋 maj膮: 'D' lub pi膮t膮 'R'. Wirus infekuje r贸wnie偶 pliki w katalogu C:MIRCDOWNLOAD bez wzgl臋du na ich nazwy.

By rozprzestrzenia膰 si臋 poprzez kana艂y IRC wirus tworzy w katalogu Windows swoj膮 kopi臋 (BUGFIX.EXE) oraz nadpisuje plik SCRIPT.INI w katalogu klienta mIRC. Zmieniony plik SCRIPT.INI zawiera tylko jedno polecenie wysy艂aj膮ce pliki robaka BUGFIX.EXE do wszystkich os贸b odwiedzaj膮cych zainfekowany kana艂.

Wirus wyszukuje klienta mIRC w katalogach MIRC oraz PROGRA~1MIRC na dyskach od C: do F:. Nast臋pnie wirus uruchamia kolejn膮 procedur臋 rozsy艂aj膮c膮 wiadomo艣ci za pomoc膮 programu MS Outlook. Wirus nie rozsy艂a jednak swoich kopii lecz zasypuje listami adres "Rhape79@ultimatechaos.demon.co.uk". Wysy艂ane wiadomo艣ci maj膮 losowo generowan膮 tre艣膰 i temat. Podczas ka偶dego uruchomienia zainfekowanego, pliku wirus wysy艂a 15 list贸w.