Email-Worm.Win32.Langex

Jest to robak rozprzestrzeniaj膮cy si臋 poprzez internet jako za艂膮cznik zainfekowanych wiadomo艣ci e-mail. Wirus ma posta膰 pliku PE EXE o rozmiarze oko艂o 3 KB i zosta艂 stworzony przy pomocy j臋zyka programowania Assembler.

Robak aktywuje si臋 z zainfekowanej wiadomo艣ci tylko wtedy, gdy u偶ytkownik uruchomi za艂膮cznik. Szkodnik nie instaluje si臋 w systemie.

W celu rozsy艂ania zainfekowanych wiadomo艣ci robak wykorzystuje funkcje MAPI systemu Windows i "odpowiada" na wiadomo艣ci zapisane w skrzynce odbiorczej:

Temat: temat oryginalnej wiadomo艣ci poprzedzony ci膮giem "Re:".

Tre艣膰 wiadomo艣ci rozpoczyna si臋 od tekstu:

CLIENT NOTICE: the recipient viewed your message and this is the reply message (original version of your message is shown after this text). Due to the differences of text encoding method used by the recipient and the method used on this system, the needed language pack is attached to this message. If the the corrections will be applied, you will be able to read the reply message.

W dalszej cz臋艣ci znajduje si臋 oryginalna tre艣膰 wiadomo艣ci. Robak do艂膮cza do wysy艂anych odpowiedzi plik LANG.EXE. Po wys艂aniu odpowiedzi oryginalna wiadomo艣膰 jest usuwana.

W kodzie robaka zapisana jest sygnatura autora:

Simple MAPI demonstration : kahuna/TKT'