VBS/SSIWG.R

VBS/SSIWG.R je Φerv vytvoren² pomocou generßtora skriptov²ch Φervov SSIGW. Mß schopnos¥ Üφri¥ sa prostrednφctvom elektronickej poÜty, IRC klientovov mIRC a Pirch. èφrenie Φerva je zßvislΘ od nainÜtalovania Windows Scripting Host (WSH), ktor² je Ütandardnou s·Φas¥ou operaΦnΘho systΘmu Windows 98 a novÜφch.

╚erv prichßdza ako s·bor v prφlohe sprßvy elektornickej poÜty, ktorej predmetom je kewl fotka a jej telo tvorφ text "Kukaj na tu supu, co som nasiel :-)". Prφlohami tejto sprßvy s· s·bory tvare1.jpg a tvare2.jpg.vbs.

S·bor tvare1.jpg obsahuje par≤diu na znßmy plagßt strany SMER . Tento obrßzok vyzerß nasledovne:

S·bor tvare2.jpg.vbs obsahuje k≤d Φerva. Po jeho spustenφ Φerv sa Φerv skopφruje do adresßra v ktorom je nainÜtalovan² operaΦn² systΘm Windows pod menom vyzva.jpg.vbs a zabezpeΦφ svoju aktivßciu pomocou registra systΘmu t²m ₧e v k╛·Φi HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run vytvorφ polo₧ku WinUpdate. Jej hodnotu nastavφ tak, aby sa Φerv spustil po reÜtarte systΘmu.

╚erv potom odoÜle svoje k≤pie na vÜetky kontakty z adresßra poÜtovΘho klienta Microsoft Outlook. ╚erv tie₧ zis¥uje, Φi je nainÜtalovan² IRC klient mIRC alebo Pirch. Ak ßno, potom vytvorφ pre mIRc s·bor script.ini a pre Pirch s·bor events.ini. Tieto s·bory sp⌠sobia, ₧e prφsluÜn² klient bude pon·ka¥ prostrednφctvom dcc na stiahnutie Φerva vÜetk²m, ktor² sa pripoja na rovnak² kanßl ako pou₧φvate╛ infikovanΘho poΦφtaΦa.