Интернет-червь Sint заражает компьютеры в локальной сети

I-Worm.Sint — интернет-червь, распространяющийся в вложениях в электронные письма. Для своего распространения использует MS Outlook. Является 30-килобайтной Win32-программой. Написан на Visual Basic.

При запуске червь копирует себя в каталоги Windows и регистрируется в ключе авто-запуске системного реестра.

Имя каталога Windows «C:Windows» «прошито» в коде червя, по этой причине он неспособен установить себя в систему, если имя каталога Windows отличается от указанного.

Червь также копирует себя с тем же именем в корневые каталоги всех доступных логических дисков (локальных и удаленных).

Затем червь подключается к почтовой системе MS Outlook, считывает из адресной книги все адреса и рассылает по ним сообщения:

Заголовок: Vicevi!
Имя вложения: Vicevi_teza_odvala.txt.exe

Текст письма выбирается случайно из 4-х вариантов:

Cao! Izvini sto te uznemiravam ovako, ali evo saljem ti neke viceve koji cete sigurno oraspoloziti!

Vozdra! Evo pogledaj ove viceve koje sam i ja dobio neki dan! Pravo su smijesni!

Cao korisnice! Znam da sigurno nemas vremena da pogledas ove viceve koje ti saljem. Nadam se da ces imati vremena da ih pogledas!

Zdravo! Nemoram ti nista pricati…samo pogledaj ovu veliku kolekciju viceva 😉

Чтобы скрыть свою активность, червь выводит сообщения:

…cash!
Raspakuj viceve!

WinZip SelfExtractor: Warning
CRC error: 234#21

Технические детали