Újabb veszélyes e-mailféreg ütötte fel a fejét
[2F 2000] Újabb veszélyes e-mailféreg ütötte fel a fejét internet-szerte. Az I-Worm.Winevar férget először Koreában észlelték. A vírus maga egy körülbelül 91 Kbyte hosszúságú PE EXE fájl, melyet Visual C++ nyelven írtak. A fertőzött üzenet az alábbiak szerint néz ki:
Tárgy:Re: AVAR(Association of Anti-Virus Asia Reseachers) Levélszöveg: AVAR(Association of Anti-Virus Asia Reseachers) - Report. Invariably, Anti-Virus Program is very foolish. Csatolt állomány: MUSIC_1.HTM MUSIC_2.CEO
A féreg a futtatás során egy jól ismert biztonsági rést (IFRAME Exploit) próbál meg kiaknázni. Aktiválás után véletlenszerű neveken (WIN[véletlenszám].EXE vagy WIN[véletlenszám].PIF) bemásolja magát a Windows System alkönyvtárba, és létrehoz egy olyan regisztrációs kulcsot, amely minden rendszerindításkor lefuttatja.
Ezen túlmenően létrehoz egy Funlove.4099 vírusvariánst is, amelyet WINxxxx.PIF néven néven szintén bemásol a Windows System alkönyvtárba. Míg azonban az eredeti Funlove vírus neve FLCSS.EXE volt, itt AAVAR.PIF néven keletkezik.
Ezt követően az alábbi üzenetet jeleníti meg:
Make a fool of oneself What a foolish thing you have done!
A féreg a *.HTM állományokban és a .DBX (Outlook Express) levelezőmappa-állományokban kutat címek után, és ezekre küldi tovább magát. A címek közül azonban nem használja azokat, amelyek a "microsoft@" karaktersorozattal kezdődnek.
A Winevar a futó processzek között vírusírtó, tűzfal és debugger programokat keres, és azok folyamatait is megpróbálja leállítani, valamint a hozzájuk tartozó állományokat letörölni. Néhány esetben ha antivírus programot talál, a féreg minden állományt töröl az összes meghajtóról. Azt pontosan nem tudni, hogy ezt szándékosan teszi, vagy ez csupán egy programhiba a víruskódban.
Az F-Secure és Kaspersky Anti-Virus, valamint a Symantec AntiVirus programok a 2002. november 25-i adatállományokkal már képesek detektálni.