W32/Parrot — злобный попугай, который ну очень не любит Sophos

W32/Parrot (aka W32/Crackly) — интернет-червь, распространяющийся посредством писем электронной почты. Также пытается (безуспешно) передавать свои копии в каналы IRC. Для рассылки своих копий по e-mail использует Microsoft Outlook и предпринимает попытки отправить их первым 2000 пользователям, найденным в адресной книге Outlook инфицированного компьютера. Является компаньон-вирусом.
Червь создает .MP3 файл и проигрывает его всякий раз при запуске приложений Windows. Помимо этого проявляет себя созданием множества .TMP-файлов в каталоге Windows, имена которых состоят из 27 символов, а также тем, что на зараженной машине невозможно корректно закрыть Windows.

Червь попадает на компьютер в виде присоединенного файла, прикидывающегося скринсейвером, к сообщению электронной почты, имеющему следующие характеристики:

Тема: Parrot screensaver
Тело: Hehe hey, look at this screensaver 🙂
Вложение: PARROT.SCR

При активизации (запуске PARROT.SCR) червь создает на зараженной машине несколько файлов:

• C:PARROT.SCR — копия червя
• %WinDir%PARROT.MP3 — аудио-файл, проигрывает:
  

  «Hi there, I’m Parrot, the talking virus, written by Jigabyte.»

• %WinDir%HELLO.MP3 — аудио-файл, после некоторой цензуры:
  

  «You’d better not f!@# on the table Graham Cluley, you son of a bitch. I don’t even know the lady and she calls me a son of a bitch! Later, I go to eat at a bigga restaurant. The waitress brings me a spoon and a knife, but no fork. I tell her, I wanna the fork. The tella me everyone wanna f!@#. I tell her you no understand, I wanna fork on the table. She say you better no f!@# on the table, you son of a bitch. I don’t even know the lady and she calla me a son of a bitch. I — don’t — need — this»

• %WinDir%WINSTART.BAT, содержит следующий текст:
  

  @cls
  @echo You’re infected with Parrot, the talking virus,
  @echo by Gigabyte/Metaphase

• %WinDir%MSG.VBS, содержит сообщение с заголовком: «VBScript: Parrot» и текстом:
  

  «You’d better not f!@# on the table Graham Cluley, you son of a bitch. I don’t even know the lady and she calls me a son of a bitch!

  Later, I go to eat at a bigga restaurant. The waitress brings me a spoon and a knife, but no fork. I tell her, I wanna the fork. The tella me everyone wanna f!@#. I tell her you no understand, I wanna fork on the table. She say you better no f!@# on the table, you son of a bitch. I don’t even know the lady and she calla me a son of a bitch. I — don’t — need — this»

Червь переименовывает все EXE-файлы, найденные в каталоге WINDOWS (за исключением EXPLORER.EXE, PTSNOOP.EXE, RUNDLL.EXE, TASKMON.EXE, and WSCRIPT.EXE), изменяя их расширение на .PRT и при этом копируя себя в оригиналы EXE-файлов. Например, червь переименовывает NOTEPAD.EXE в NOTEPAD.PRT, а оригинальный NOTEPAD.EXE переписывает своим кодом. При запуске такого EXE-файла червь проигрывает файл PARROT.MP3 и затем соответствующий (оригинальному .EXE) .PRT-файл копирует в HOST.EXE, после чего запускает его оттуда. Следует добавить, что в одно и то же время не может быть запущено больше одного приложения WINDOWS.

Червь создаетпереписывает файл C:MIRCSCRIPT.INI с инструкциями посылать файл C:WINDOWSPARROT.SCR всем пользователям IRC-каналов (чатов), которым отправляются сообщения с зараженной машины. Однако, в программе червя содержатся ошибки, и такой способ распространения терпит неудачу.

Червь создает в системном реестре ключи, чтобы аудио-файл загружался всякий раз при старте Windows, а также для вывода message box при последующем старте системы:

HKLMSoftwareMicrosoftWindowsCurrentVersion
Run(Default)=hello.mp3

HKLMSoftwareMicrosoftWindowsCurrentVersion
RunOnce(Default)=msg.vbs