Email-Worm.Win32.Adrenaline

技術的な詳細

これは、Windowsシステムに感染し、IRCチャネルを介して拡散するウイルスワームです。ワーム自体は、MS Visual C ++で書かれ、PECompact（圧縮サイズは約35K、圧縮されていないサイズは約65Kです）で圧縮されたWindows実行ファイルです。

感染ファイルが実行されると、Windowsディレクトリ内のEXEファイルが検索され感染します。感染すると、ウイルスはファイル本体を35Kだけ動かし、ファイルの先頭に自身を書き込みます。ホストファイルへの制御を解除するために、ウイルスはホストファイルをHOSTFILE.EXEに「駆除」し、それを生成してから削除します。ウイルスはファイル名に注意を払い、名前が 'E'、 'P'、 'R'、 'T'、 'W'、または3番目の文字が 'D'または5番目の文字「R」です。

このウイルスは、ファイル名に注意を払わずに、C：MIRCDOWNLOADディレクトリのEXEファイルにも感染します。

IRCチャネルを介して広がるために、ウイルスは "純粋な"イメージをBUGFIX.EXEという名前のWindowsシステムディレクトリにドロップし、mIRCクライアントディレクトリのSCRIPT.INIファイルを上書きします。感染したSCRIPT.INIファイルには、感染したIRCチャネルに参加するすべての人にBUGFIX.EXEファイルを送信する命令が1つだけ含まれています。

ウイルスはCIRからFへのすべてのドライブ上のディレクトリMIRCおよびPROGRA〜1MIRCでmIRCクライアントを探します。

その後、MS Outlookを使用してメッセージを送信する別のルーチンが実行されます。ウイルスは感染したメッセージに広がることはありませんが、アドレス "Rhape79@ultimatechaos.demon.co.uk"にランダムに生成された件名と本文を持つメッセージをスパムします。実行ごとに、ウイルスは15のメッセージをそのアドレスに送信します。