Win32.Aliz

Jest to robak internetowy wykryty w maju 2001 roku. Rozprzestrzenia si臋 jako plik za艂膮czony do wiadomo艣ci e-mail. Wirus Ma posta膰 pliku PE EXE o rozmiarze oko艂o 4 KB i zosta艂 napisany w j臋zyku programowania Assembler. G艂贸wny kod robaka jest skompresowany przy u偶yciu wbudowanego algorytmu aPLib.

Wiadomo艣ci wysy艂ane przez robaka wygl膮daj膮 nast臋puj膮co:

  • Temat: r贸偶ny (patrz poni偶ej)
  • Tre艣膰: brak
  • Nazwa za艂膮cznika: whatever.exe

Temat wiadomo艣ci jest losowo wybierany spo艣r贸d poni偶szych mo偶liwo艣ci i ma posta膰 tekst1 + tekst2 + ... + tekst 5:

tekst1:

Fw:, Fw: Re:

tekst2:

Cool, Nice, Hot, some, Funny, weird, funky, great, interesting, many

tekst3:

website, site, pics, urls, pictures, stuff, mp3s, shit, music, info

tekst4:

to check, for you, i found, to see, here, - check it

tekst5:

!!, !, :-), ?!, hehe ;-)

Przyk艂adowo: Cool mp3s to see !, Fw: Re: Cool stuff here!

Aby uruchomi膰 si臋 z zainfekowanej wiadomo艣ci robak wykorzystuje dziur臋 w zabezpieczeniach zwan膮 IFRAME. W rezultacie robak uruchamia si臋 podczas czytania wiadomo艣ci - nie jest wymagane klikni臋cie na zainfekowanym za艂膮czniku.

Po uruchomieniu zainfekowanego pliku kontrol臋 przejmuje procedura rozpakowuj膮ca, kt贸ra 艂aduje do pami臋ci g艂贸wny kod robaka i uruchamia go. Uruchomiony kod wysy艂a zainfekowane wiadomo艣ci e-mail pod adresy znalezione w pliku WAB (ksi膮偶ka adresowa systemu Windows). W celu wysy艂ania zainfekowanych wiadomo艣ci robak 艂膮czy si臋 z domy艣lnym serwerem SMTP.

Robak nie instaluje si臋 w systemie i nie uruchamia si臋 ponownie (wirus mo偶e si臋 uruchomi膰 po raz drugi je偶eli u偶ytkownik kliknie na zainfekowanym za艂膮czniku).

Robak nie posiada 偶adnych procedur dodatkowych i w 偶aden spos贸b nie ujawnia swojej obecno艣ci.

Robak posiada b艂臋dy w procedurze rozprzestrzeniaj膮cej i w niekt贸rych konfiguracjach serwer贸w pocztowych nie mo偶e si臋 rozprzestrzenia膰

W kodzie robaka zapisany jest tekst:

:::iworm.alizee.by.mar00n!ikx2oo1:::
while typing this text i realize this text got added on many av
description sites, because this silly worm could be easily a
hype. i wonder which av claims '[companyname] stopped high risk
worm before it could escape!' or shit like that. heh, or they
boycot my virus because of this text. well, it is easy enough
for the poor av's to add this worm; since it was only released
as source in coderz#2... btw, loveletter*2 power in pure win32asm
and only a 4k exe file. heh, vbs kiddies, phear win32asm. :)
thx to: bumblebee!29a, asmodeus!ikx. greets to: starzer0!ikx,
t-2000!ir, ultras!mtx & sweet gigabyte...
btw,burgemeester van sneek: ik zoek nog een baantje...
(alignmentfillingtext)