Terjed az I-Worm.Aliz féregvírus
[Email] Ez a féregvírus az Internet segítségével terjed fertőzött email üzenetek mellékleteként. A féreg maga egy kb. 4 Kbyte hosszúságú PE EXE fájl, melyet Assemblerben írtak.
A féreg programkódja össze lett tömörítve egy beépített aPlib tömörítési algoritmus segítségével, így az eredeti hossza körülbelül 6 Kbyte. A fertőzött üzenet az alábbiak szerint néz ki:
- Subject: különböző
- Body: üres HTML üzenet
- Attach: whatever.exe
A féreg a lefuttatásához egy biztonsági rést használ ki (IFRAME, hasonló ahhoz, amit a Nimda féreg is használt). Így a féreg már akkor aktíválódni tud, ha csak olvassuk vagy a preview ablakban megjelenítjük a fertőzött üzenetet (ehhez hasonló volt a KAK.worm, ahol szintén a fertőzött melléklet megnyitása nélkül tudott aktiválódni a féreg).
Ha már fut a fertőzött file, először a kicsomagoló rutin kapja meg a vezérlést és a már kitömörített férget betölti a memóriába, majd lefuttatja azt. Ez a programrész fertőzött email üzeneteket küld a WAB (Windows Address Book) jegyzékben található címekre az alapértelmezett SMTP szerver segítségével. A féreg nem telepíti magát a rendszerre és többet nem is aktiválódik (kivéve persze, ha a felhasználó ismét rá nem klikkel a fertőzött levélre). A féreg nem tartalmaz büntető rutint és semmilyen más módon nem fedi fel magát.
Az email üzenet terjedési rutinja számos hibát tartalmaz, és úgy tűnik, hogy nem képes minden email kliens-szerver környezetben tovább terjedni. A legérdekesebb dolog az egészben az a tény, hogy ez az aktivációs és terjedési algoritmus (ez maga a főmodul) egy mindössze 3 Kbyte végrehajtható kódban elfért.
Meglepő, hogy ez a vírus milyen komoly fertőzést tudott okozni hat hónappal a megjelenése után. Az ok egyszerű: azok a felhasználók, akik a figyelmeztetések ellenére sem tartották be az alapvető számítógép biztonsági elveket, újra ugyanabba a hibába estek bele. Nyilvánvaló, hogy a legtöbb vírusfertőzésnek az az oka, hogy nem tanusítanak kellő óvatosságot az email üzenetekkel kapcsolatban és nem telepítik a megfelelő javító patch állományokat a biztonsági lyukak befoltozására.
Az "Aliz" férget először 2001. május 25-én észlelték és ekkor került bele a vírusismereti adatbázisba. Ezért emiatt nem volt szükség külön adatbázisfrissítés kiadására. Az F-Secure es a Kaspersky Anti-Virus programok a május 25. utáni frissítéssel képesek detektálni.