Email-Worm.JS.Gigger

Jest to niebezpieczny robak internetowy. Podczas rozprzestrzeniania si臋 wirus wykorzystuje programy Outlook, Outlook Express oraz klienta mIRC. Robak zosta艂 napisany w j臋zykach programowania JavaScript oraz Visual Basic Script (VBS). Zawiera destrukcyjne procedury dodatkowe formatuj膮ce dysk C: i usuwaj膮ce dane ze wszystkich dysk贸w zainstalowanych w komputerze.

Instalacja

Podczas instalowania si臋 w systemie robak tworzy nast臋puj膮ce pliki:

  • C:Bla.hta
  • C:B.htm
  • C:WindowsSamplesWshCharts.js
  • C:WindowsHelpMmsn_offline.htm

po czym tworzy w rejestrze systemowym w艂asny znacznik:

HKEY_CURRENT_USERSoftware hegraveadusersv2.0

Szkodnik kopiuje si臋 na wszystkie udost臋pnione nap臋dy sieciowe do katalogu:

WindowsStart MenuProgramsStartUpMsoe.hta

Rozprzestrzenianie poprzez poczt臋 elektroniczn膮

W celu wysy艂ania zainfekowanych wiadomo艣ci e-mail robak wykorzystuje programy Outlook oraz Outlook Express. Wiadomo艣ci te wygl膮daj膮 nast臋puj膮co:

Temat: Outlook Express Update
Tre艣膰: MSNSoftware Co.
Za艂膮czony plik: mmsn_offline.htm

Ponadto wirus wysy艂a pod sta艂y adres wiadomo艣膰 zawieraj膮c膮 adresy w艂asnych "ofiar".

Rozprzestrzenianie poprzez IRC

Robak wyszukuje katalog instalacyjny aplikacji mIRC i tworzy w nim plik script.ini, kt贸ry wysy艂a kopi臋 wirusa (plik mmsn_offline.htm) do ka偶dego u偶ytkownika przy艂膮czaj膮cego si臋 do zainfekowanego kana艂u IRC.

Procedury dodatkowe

Robak dodaje do pliku Autoexec.bat komend臋, kt贸ra formatuje dysk C: podczas restartu komputera pracuj膮cego pod kontrol膮 systemu operacyjnego Windows 95/98.

Je偶eli dzie艅 aktualnej daty systemowej to 1, 5, 10, 15 lub 20 robak usuwa wszystkie pliki zapisane na dyskach zainstalowanych w komputerze.