W32.Zokrim.C@mm – e-mailben és IRC-n is terjedő féregvírus

A fertőzött e-mail paraméterei

Tárgy: Your friend Morena
Csatolmány: morena.exe
Tartalom: Don´t tell me that have forgotten of me!!! beh have put you my photo!

A féreg tulajdonságai

Felfedezésének ideje: 2003. március 11.
Utolsó frissítés ideje: 2003. március 11.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett rendszerek: Windows 3.x, Macintosh, OS/2, UNIX, Linux
Mérete: 61.440 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– megjelenít több ál-hibaüzenetet is a felhasználónak
– felmásolja magát a C meghajtó gyökerébe Morena.exe néven
– hozzáadja a Winproxy C:/morena.exe bejegyzést a HKEY_Local_Machine/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehoz a C meghajtó gyökerében egy Visual Basic állományt, név szerint a Morena.vbs-t; ennek révén továbbítja majd magát az Outlook Address Bookjában található e-mailcímekre
– létrehozza a Script.ini állományt a következő könyvtárak valamelyikében, feltéve, hogy a könyvtár létezik:
C:/Mirc
C:/Mirc32
C:/Program Files/Mirc
C:/Program Files/Mirc32
– ezt az állományt arra használja, hogy IRC-n keresztül is továbbszaporítsa magát (ezen file-t a Symantec víruskereső szoftvere IRC.Family.Gen néven ismeri fel)