Интернет-червь XCod: много амбиций, мало достижений

I-Worm.XCod — интернет-червь, распространяющийся по IRC-каналам (чатам). Червь написан на языке Visual Basic и представляет собой Win32 PE EXE-файл. Код червя содержит великое множество ошибок. Червь хотел бы также распространяться по электронной почте, но из-за ошибок в его коде это у него не выходит.

Червь копирует себя в:

C:windowsinstall_.exe
C:windowssystemsysboot_.exe

и пытается зарегистрироваться в системном реестре, но из-за ошибок в программе — не совсем удачно.

Сообщения, которые червь хотел бы отправить по электронной почте (но это он также сделать не в состоянии), содержатся в файле INSTALL_.EXE. Текст имеет несколько вариантов:

Hey
Hey, How Are Things? I’m Writing This E-Mail To Let You Know Of An
Attachment Im Sending With The Next Mail You Will Probably Find. It Very
Useful. I did! See You Soon

Hey Its Me Again,Here You Go Its The Installation Program For An Adults
Only Explicit Screensaver (Pornographic)

Hey Its Me Again,Here You Go Its The Installation Program For An Outlook
Express Security Upgrade

Hey Its Me Again,Here You Go Its The Installation Program For A Microsoft
Explorer Patch V7.5 (Required For Many Sites)

Hey Its Me Again,Here You Go Its The Installation Program For A Cool Game
I Found On The Web, Try It!

Hey Its Me Again,Here You Go Its The Installation Program For An
Excellent MP3 Player With Plug-Ins LIMITED EDITION

Более успешно обстоят дела у червя с распространением себя по IRC-каналам. Для этого червь создает управляющий скрипт SCRIPT.INI в каталоге C:MIRC. Этот скрипт отсылает файл «installx2.exe» — копию червя всем пользователям, подключающимся к зараженному каналу. Сообщение, содержащее зараженный файл следующее:

You gotta see this. Talk about hard core, jesus!! This is kinky at its
best… you gotta see this, just look at it!!

Второе, что у червя получается без ошибок, — уничтожать антивирусные файлы данных Norton Anti-Virus: C:Program FilesNorton AntiVirus*.dat, если таковые обнаруживаются на зараженном компьютере.

22 июня червь намеревается показать (но, из-за ошибок в коде, это у него не получится) сообщения:

X-Coderz VBS Virus 0.3
X-Coderz Have Taken Control

затем:

X-Coderz???
Remove Virus From Your System?

и потом:

X-Coderz
FUCK YOU!!!!!!