Hermes — новый интернет-червь

I-Worm.Hermes — интернет-червь, распространяющийся во вложениях в электронные письма. Написан на Visual Basic. Для своего распространения червь использует MS Outlook. Является 30-килобайтной Win32-программой (упакован, после распаковки размер червя — 60K).

Червь подключается к почтовой системе MS Outlook, считывает из адресной книги Outlook почтовые адреса и рассылает по ним сообщения:

Заголовок: Re:
Текст: [%SenderName%]

где %SenderName% является именем отправителя (как оно прописано в настройках системы).

Имя вложения выбирается случайно из следующих вариантов:

Seti@home 3.x to 4.0 upd.exe
Seti@home_twk.exe
Seti_patch.exe
Lunetic!.exe
CIH.exe
Energy.exe
ftip.exe
Navidat.exe
Click_ME!.exe
Cenik.exe
Lunetic.scr
fucking.scr
micro$haft.scr
matrix.scr
reboot.scr
Pamela.scr
techno.scr
funny!.scr
Hermes.scr
School_in_da_flame.scr

Червь также выводит сообщения:

_ i-Worm.Hermes _
Code by: gl

This program requires more conventional memory
Unload drivers or memory-resident programs that use conventional memory,
or increase the value for Minimum Conventional Memory in the program’s
Memory properities sheet.

Червь открывает Web-страницу «http://www.seznam.cz», но ничего с ней более не делает. Пытается также создать новые ключи в реестре, но этого не происходит по причине ошибки в коде червя.