Invalid: интернет-червь маскируется под патч от Microsoft

I-Worm.Invalid — опасный интернет-червь, распространяющий свои копии по электронной почте в виде присоединенного к письму файла длиной около 12K. Для передачи зараженных писем в интернет червь устанавливает соединение с сервером «mail.bezeqint.net», используя протокол SMTP, т.е. не использует какие-либо почтовые программы и способен к распространению даже при их отсутствии.

Адреса жертв червь получает из HTML-файлов. Для этого он просматривает на жестком диске зараженной машины *.HT*-файлы и ищет в них email-адреса.

Инфицированное сообщение имеет следующие характеристики:

От кого: «Microsoft Support» [support@microsoft.com] Тема: Invalid SSL Certificate’,0Dh,0Ah
Вложение: SSLPATCH.EXE

Текст:

Hello,

Microsoft Corporation announced that an invalid SSL certificate that web
sites use is required to be installed on the user computer to use the https
protocol. During the installation, the certificate causes a buffer overrun in
Microsoft Internet Explorer and by that allows attackers to get access to
your computer. The SSL protocol is used by many companies that require credit
card or personal information so, there is a high possibility that you have
this certificate installed.

To avoid of being attacked by hackers, please download and install the attached patch. It is strongly recommended to install it because almost all
users have this certificate installed without their knowledge.

Have a nice day,
Microsoft Corporation

В случае ошибки, а также после рассылки зараженных сообщений червь шифрует все EXE-файлы в текущем и во всех родительских каталогах. При шифровании использует стандарт Windows crypto API.

В теле червя содержатся текстовые строки:

I-Worm.Invalid, Written By Dr.T/BCVG Network, 2001
The Black Cat Virii Group, 2001