Email-Worm.Win32.XCod

技術的な詳細

これはEmail / IRCワームです。ワーム本体自体は、VisualBasicで書かれたWin32 PE EXEファイルです。ワームは、あまりにも多くのバグがあり、うまく説明できません。

それは自身にコピーします：

C：windowsinstall_.exe
C：windowssystemsysboot_.exe

レジストリキーに自身を登録します。

HKEY_CLASSES_ROOTexefileshellopenコマンド
"C：windowssystemsystray_.exe"％1％*

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SystemTray = C：Windowssystemsystray_.exe
SystemTray = C：Windowssystemsysboot_.exe

（最後の行は最初の行と重複するので、システムレジストリでは最初の行は消えます）。

HKEY_LOCAL_MACHINESoftwareWinsysinfo
プログラム名= X-Coderz
CurrentVersionNumber = X-Coderz.VBS.03.A

（それはもっと多くの行を書き込むつもりだが失敗する）。

電子メールで送信されたメッセージ（これも失敗します）にはINSTALL_.EXE添付ファイルが含まれています。メッセージテキストと件名はバリアントから選択されています。

ねえ
ねえ、物事はどうですか？私はあなたに知らせるためにこの電子メールを書いています
あなたがおそらく見つける次のメールで添付ファイルを送信する。それは非常に
有用。やった！また近いうちにお会いしましょう

ねえ、もう一度、あなたは大人のためのインストールプログラムに行く
唯一の明示的なスクリーンセーバー（ポルノ）

ねえ、もう一度、あなたはOutlookのインストールプログラムに行く
エクスプレスセキュリティアップグレード

ねえ、もう一度、あなたはMicrosoftのインストールプログラムに行く
ExplorerパッチV7.5（多くのサイトで必要）

ねえ、もう一度、あなたはクールなゲームのためのインストールプログラムに行くここ
私はWeb上で見つけた、それを試してみてください！

ねえ、もう一度、あなたはそのインストールプログラムに行く
プラグイン付きの優れたMP3プレーヤーLIMITED EDITION

そのIRCチャンネルを広めるため、ワームはC：MircディレクトリのmIRCクライアントに影響を与えます。ワームは、SCRIPT.INIファイルに「installx2.exe」という名前のワームコピーをIRCチャネルに送信し、そこにメッセージも送信します（正常に）

これは見るべき。ハードコア、イエスについて語る！これは、
最高…あなたはこれを見なければならない、ちょうどそれを見て！

ワームは、Norton Anti-Virusのデータファイルを削除します。C：Program FilesNorton AntiVirus * .dat

6月22日に、ワームはメッセージボックスを表示しようとしますが、失敗します。

X-Coderz VBSウイルス0.3
X-Coderzがコントロールを取った

次に：

X-Coderz？
システムからウイルスを削除しますか？

その後：

X-Coderz
ファックあなた!!!!!!