VirTool.Win32.UPXScrambler

技術的な詳細

これは、感染した電子メールに感染し、そのコピーをIRCチャネルに送信し、ローカルマシン上のWindows EXEファイルに感染するインターネットワームウイルスです。ワーム自体は、Microsoft Visual C ++で書かれた約70KのWindows実行ファイルです。

感染ファイルが実行されると、ウイルスはWindowsシステムディレクトリに「ドロッパー」（純粋なウイルスコードを持つファイル）を作成します。このファイルには、ランダムな5文字の名前があります（例：HIJDE.EXE）。このファイルは、あとでインターネットやIRCチャンネルにウイルスコピーを送信するために使用されます。

その後、ウイルスはWindowsのディレクトリをスキャンし、Windowsの実行可能な.EXEファイルを探し、ウイルスコードをファイルの先頭に書き込んで感染させます。このウイルスは、E、P、R、T、Wのいずれかの文字で始まる名前のファイルに感染するのを防ぎます。このウイルスは、C：MIRCDOWNLOADディレクトリ内のすべてのEXEファイルを感染させます。

次に、このウイルスはmIRCクライアントに感染してそのコピーをIRCチャネルに送信するとともに、MS Outlookを電子メールメッセージで配信する。

mIRCクライアントを感染させるために、ウイルスはC：からF：へのすべてのドライブの標準mIRCディレクトリにSCRIPT.INIファイルを作成（上書き）しようとします。感染ファイル名は次のようになります。

mircscript.ini
PROGRA〜1mircscript.ini

ワームは、感染したチャネルに入った各ユーザーにその「ドロッパー」を送信する短いスクリプトを書き込みます。

このウイルスは、WindowsシステムディレクトリにSCRAMBLER.VBS VisualBasicを作成し、そこにMS Outlookに接続し、MS Outlookアドレス帳から最初の90人のユーザーに電子メールメッセージを送信するスクリプトプログラムを作成します。メッセージには感染した添付ファイル（ウイルス "ドロッパー"）があります。主題は「これをチェックしてください、それは面白いです！メッセージ本文は空です。その後、ウイルスはそのスクリプトを生成し、結果としてインターネットに広がります。

ウィルスはWindowsディレクトリにWINSTART.BATファイルを作成し、そこに2つのコマンドを書き込んで画面をクリアし、そのファイルが実行されると次のメッセージを表示します。

今日..
私はあなたの心をスクランブルするつもりです..

このウイルスはSCRAM.SYSファイルも作成し、そこにテキストを保存します。

スクランブラー
ギガバイト

ウイルスはまた、MP3ファイルのためにドライブをスキャンし、それらを壊滅させる。