Email-Worm.Win32.Newpic

Jest to robak internetowy rozprzestrzeniaj膮cy si臋 przy u偶yciu programu MSN Messenger. Wirus ma posta膰 uruchamialnego (EXE) pliku systemu Windows o rozmiarze oko艂o 50 KB i zosta艂 napisany w j臋zyku programowania VisualBasic.

Gdy zainfekowany plik zostanie uruchomiony robak wy艣wietla komunikat:

Error
Cannot open file. May be corupted. Replace the file with a new
one and try again.

Nast臋pnie szkodnik dodaje sw贸j klucz do rejestru systemowego:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
MSN Messenger = %nazwa_pliku%

gdzie %nazwa_pliku% jest pe艂n膮 nazw膮 pliku, z kt贸rego robak zosta艂 uruchomiony.

Szkodnik czeka na przychodz膮ce wiadomo艣ci, odpowiada na nie tekstem:

hey, want me to send my new pic?
i took it yesterday

i czeka na odpowied藕 u偶ytkownika. Je艣li zawiera ona nast臋puj膮ce s艂owa:

sure
yes
yea
guess
ok
send
maybe
go

robak wysy艂a do "ofiary" swoj膮 kopi臋 (plik EXE) oraz losowo wybrany tekst:

alright, here ya go
i hope you like it
there
pweese? :)
ok cool

Ponadto robak tworzy plik "C:Messenger1324Brain1Read Me.txt" i zapisuje w nim poni偶szy tekst:

I come in piece. My name is Jerry.
The purpose of me is to spread. I'm not annoying, nor dangerous.
How to remove me:
1) Click Start, select Run. The Run dialog box pops up.
2) Type: msconfig The System Configuration Utility pops up.
3) Click the Startup tab at the top. In the list, find MsgSprd, Messenger, or pic1324, uncheck, press Apply, then press Ok.
4) Restart your computer Or press Ctrl - Alt - Del, select MsgSprd from the list, then press End Task.
You may freely delete the files or the 'C:Messenger1324' directory.