Újabb e-mail vírus: I-Worm.Updater

Az I-Worm.Updater féreg maga egy körülbelül 12 KB hosszúságú windowsos EXE állomány, amely Visual Basic 6-ban készült, és e-mailben terjed. A fertőzött levél káros része csak akkor aktivizálódik, ha a felhasználó rákattint az e-mail mellékletére. Ekkor a féreg feltelepítődik a rendszerre, lefuttatja a terjedéséhez szükséges és büntető rutinját.

A fertőzött üzenet szövege és a csatolt állomány lehetséges neve többféle is lehet, ezeket véletlenszerűen választja ki az I-Worm.Updater az alábbi lehetőségek közül (a levél tárgyát 4 részből állítja össze):

1. rész: Have you , You Should , Just , Why Not you , How to , Re: , Fwd :
2. rész: Check , Check out , Watch out , Open , Look at
3. rész: this , my , For this , The
4. rész: Picture, Program, Patch, Nude pic, Report, Documment, Quotation, Transaction, Bank Account, WTC Tragedy, Osama Vs Bush, Account, Private Pic

A kártékony töltetet hordozó csatolt állomány nevei (ezt futtatás esetén a Windows könyvtárba is bemásolja) a következők lehetnek:
Setup.EXE, install.exe, Readme.exe, Files.exe, Picture.exe Quotation.Doc.exe, Letter.Doc.exe, Picture.jpg.exe

Magában a levéltörzsben csak egyetlen mondat található, melyben a mellékelt file lementésére és megnyitására buzdítja a címzettet a vírus. (This is the file you ask for, Please save it to disk and open this file, it’s very important.)

Ha ez megtörténik, a féreg elhelyezi magát a WINDOWS könyvtárban UPDATE.EXE néven, létrehozza a regisztrációs adatbázis (Registry) auto-run részében az alábbi kulcsot:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Update = C:\WINDOWS\Update.exe
Ezenkívül megjelenít egy hamis rendszerüzenetet is (Cannot Open files : It does not appear to be a valid archive if you Downloaded this file , try downloading the file again.), átírja a merevlemez címkéjét IMELDA-ra, valamint létrehoz egy Visual Basic script állományt (C:\WINDOWS\ STARTM~1\PROGRAMS\STARTUP\Update.vbs).

Ez a programkód automatikusan lefut a számítógép újraindításakor Windows 9x és Me operációs rendszereken. A kód az összes hozzáférhető meghajtón .EXE, .DOC és .TXT kiterjesztésű állományok után kutat. Minden ilyen állományból készít egy újat, melynek tartalma a víruskód lesz, neve pedig a .VBS kiterjesztéssel egészül ki.