Újabb féreghullám az Interneten

A féreg maga egy körülbelül 4 Kb hosszúságú PE EXE file, melyet Assemblyben írtak. A féreg programkódja össze lett tömörítve egy beépített aPlib tömörítési algoritmus segítségével, így az eredeti hossza körülbelül 6 Kb.

A fertőzött üzenet az alábbiak szerint néz ki:
Tárgy: különböző (lásd lentebb)
Test: üres HTML üzenet
Csatolmány: whatever.exe

A levél tárgya véletlenszerűen választódik ki több különböző lehetséges karakterláncból:
Cool, nice, hot, some, funny, weird, funky, great, interesting, many
Website, site, pics, urls, pictures, stuff, mp3s, shit, music, info
To check!!, for you!, i found, to see, here hehe ;-), check it

Például:
Cool mp3s to see !
Cool stuff here !

A féreg a lefuttatásához egy biztonsági rést használ ki (IFRAME, hasonló ahhoz, amit a Nimda féreg is használt). Így a féreg már akkor aktiválódni tud, ha csak olvassuk vagy a előnézet ablakban megjelenítjük a fertőzött üzenetet (ehhez hasonló volt a KAK.worm, ahol szintén a fertőzött melléklet megnyitása nélkül tudott aktiválódni a féreg).

Ha már fut a fertőzött file, először a kicsomagoló rutin kapja meg a vezérlést és a már kitömörített férget betölti a memóriába, majd lefuttatja azt. Ez a programrész fertőzött e-mail üzeneteket küld a WAB (Windows Address Book) jegyzékben található címekre az alapértelmezett SMPT szerver segítségével. A féreg nem telepíti magát a rendszerre és többet nem is aktiválódik (kivéve persze, ha a felhasználó ismét rá nem kattint a fertőzött levélre). A féreg nem tartalmaz büntető rutint és semmilyen más módon nem fedi fel magát.

Az e-mail üzenet terjedési rutinja számos hibát tartalmaz, és úgy tűnik, hogy nem képes minden e-mail kliens-szerver környezetben tovább terjedni. A legérdekesebb dolog az egészben az a tény, hogy ez az aktivációs és terjedési algoritmus (ez maga a főmodul) egy mindössze 3 Kb végrehajtható kódban elfért.

Meglepő, hogy ez a vírus milyen komoly fertőzést tudott okozni hat hónappal a megjelenése után. Az ok egyszerű: azok a felhasználók, akik a figyelmeztetések ellenére sem tartották be az alapvető számítógép biztonsági elveket, újra ugyanabba a hibába estek bele. Nyilvánvaló, hogy a legtöbb vírusfertőzésnek az az oka, hogy a nem tanúsítanak kellő óvatosságot az e-mail üzenetekkel kapcsolatban és nem telepítik a megfelelő javító állományokat a biztonsági lyukak befoltozására.

A féreg ezt a szöveget tartalmazza:

:::iworm.alizee.by.mar00n!ikx2oo1:::
while typing this text i realize this text got added on many av description sites, because this silly worm could be easily a hype. i wonder which av claims [companyname] stopped high risk worm before it could escape! or shit like that. heh, or they boycot my virus because of this text. well, it is easy enough for the poor avs to add this worm; since it was only released as source in coderz#2… btw, loveletter*2 power in pure win32asm and only a 4k exe file. heh, vbs kiddies, phear win32asm. 🙂
thx to: bumblebee!29a, asmodeus!ikx. greets to: starzer0!ikx, t-2000!ir, ultras!mtx & sweet gigabyte…
btw,burgemeester van sneek: ik zoek nog een baantje…

Az ”Aliz” férget először 2001. május 25-én észlelték és ekkor került bele a vírusismereti adatbázisba. Az F-Secure és a Kaspersky Anti-Virus programok a május 25. utáni frissítéssel képesek detektálni.