11 июля 2000 г.

Антивирусная лаборатория ╚ЦЕБИТ╩ со ссылкой на компанию Sophos, разработчика антивирусного ПО, сообщила о появлении нового VBS-червя "Cod-A" (другое название - "Crayon of Doom").

    Червь распространяется по e-mail в присоединенном файле, используя для этого Microsoft Outlook или по каналам mIRC и PIRCH IRC (Internet Relay Chat).

    Тема сообщения, в котором находится червь: "Hey whats up, Important!". Тело сообщения содержит следующий текст: "Hey I attached a list for you to this e-mail take a look at it and tell me what you think."

    Присоединенный файл имеет название "Pornlist.doc" и записан в формате Word 6/95. Если открыть этот присоединенный файл, то на дисплее появляется иконка, похожая на иконку .GIF-файла. Если затем дважды кликнуть по этой иконке, то в результате никакой GIF-файл не загрузится, а червь скопирует свой дроппер на жесткий диск и затем запустится на исполнение.

    После этого червь начинает копировать VBS-файл и зараженный документ Word на все локальные и доступные сетевые диски. Червь также проверяет, существуют ли директории C:\MIRC или C:\PIRCH98, и если да, то создает скрипт-файл с названием C:\MIRC\SCRIPT.INI в директории C:\MIRC\ и скрипт-файл с названием C:\PIRCH98\EVENTS.INI в директории C:\PIRCH98\. Эти скрипты, в свою очередь, пытаются отправить инфицированный файл Pornlist.doc другим пользователям Chat.

    Червь изменяет инсталляционные Windows-файлы WIN.INI и SYSTEM.INI, а также добавляет свои записи в системный реестр Windows (чтобы запускаться автоматически при каждом старте системы).

    По материалам пресс-релиза "ЦЕБИТ".