Вирус-червь Urick распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Данный червь является приложением Windows (PE EXE-файл), имеет размер около 9K (упакован UPX, размер распакованного файла — около 30K), написан на Visual Basic.
Urick использует программные приёмы, усложняющие его детектирование эвристическими сканерами.
Червь содержит ошибки и в некоторых случаях (в зависимости от настроек системы) не в состоянии рассылать зараженные письма.
Зараженные письма содержат:
Заголовок: A Windows Trick
Текст:
This is a cool Windows Trick. Microsoft has not developed a patch for this because they do not want to.
Execute the file attached to learn more of this Windows Trick.
If it did not work, use a Linux system instead.
The Microsoft Support Team.Имя вложения: не фиксировано
Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
При рассылке зараженных писем червь подключается к MS Outlook и рассылает себя по всем адресам, обнаруженным в адресной книге.
При инсталляции червь копирует себя с текущим именем (как во вложении в зараженном письме) в каталог «My Documents» (или «Мои Документы» — в зависимости от настроек системы) и регистрирует этот файл в ключе авто-запуска системного реестра:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Каждый месяц по числам 5, 10, 15, 20, 25, 30 червь в бесконечном цикле выводит сообщение:
Процедуры защиты от данной вредоносной программы уже добавлены в базу данных Антивируса Касперского.
Информация об интернет-черве Urick