Червь Valcard, поющий о любви

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 97K (упакован UPX, распакованный размер — около 132K), написан на Visual Basic. Рассылка писем При рассылке писем червь отрывает адресную книгу MS Outlook и рассылает зараженные письма по всем адресам. Зараженные письма содержат: Имя вложения: ValentineCard.exe

Заголовок случайно выбирается из вариантов:

Текст письма выбирается из вариантов:

В конце текста присутствует имя пользователя зараженного компьютера.

Инсталляция

Червь активизируется только если пользователь сам запускает зараженные файл при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

При инсталляции червь копирует себя в системный каталог Windows с именем «ValentineCard.exe» и регистрирует этот файл в ключе авто-запуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
14th = %SystemDir%ValentineCard.exe

где %SystemDir% — системный каталог Windows.

Проявления

Червь записывает в реестр ключ, означающий, что система уже заражена:

HKLMSoftwareMicrosoftWindowsCurrentVersion
Valentine = true

Затем червь должен проявляться различным образом, но по причине ошибки всегда происходит одно и тоже: червь создает файл «C:evil.jpg», записывает туда WAV-звук (не изображение) и открывает его. Поскольку файл имеет неправильное
расширение («.jpg», а не «.wav»), система отказывается проигрывать этот файл.

Если переименовать его с правильным расширением «.wav», то прозвучит текст: «Somebody loves you».

Червь также должен (но по причине ошибки этого не происходит) открыть окно своего приложения. В заголовке этого окна должен прокручиваться текст:

I Love You !

При нажатии на кнопку окна «About» должно появляться сообщение:

Flash Player
Flash Player 4.0
Copywrite (C) 1996-1999 Macromedia, Inc.
http://www.macromedia.com

По четвергам червь должен перестартовывать Windows.