digi.no ble varslet av Bjørn Martinussen i Tech Computers AS som forteller at to av hans kolleger har fått e-post utenfra med denne ormen. Den fullstendige tittelteksten i e-post-meldingen er "Check this: Have fun with these links." Vedlegget er et Visual Basic-skript.
- Det virker som et tiltak for å markedsføre porno, sier Martinussen som har analysert skriptet. - Når vedlegget åpnes, eksekveres skriptet dersom du har installert Windows Scripting Host eller tilsvarende programvare for å kjøre Visual Basic-skripter.
Alle maskinene i Martinussens lokalnett kjører NT. Han vet ikke hvordan skriptet vil oppføre seg på en maskin med Windows 95 eller 98.
- I det ene tilfellet vi ble utsatt for, ser det ut som om skriptet har eksekvert seg selv. I det andre tilfellet, klikket brukeren på skriptet for å se på det, og det ble ikke eksekvert.
- Når skriptet kjøres, kopierer det seg selv til system-katalogen under navnet rundll.vbs med link til Registry. Neste gang du starter maskinen får du opp en melding kalt "Free XXX links". Innholdet er at du skal svare ja om du ønsker å legge ut en link til XXX-siden. Hvis du svarer ja får du en link til et pornosted på arbeidsflaten. Uansett om du svarer ja eller nei sendes den opprinnelige e-post-meldingen til alle kontaktene dine.
Martinussen forteller at hans lokalnett har en oppdatert antivirus gateway som ikke luket ut denne ormen. Han har sjekket hos de største antivirusleverandørene uten å finne noen beskrivelse av ormen.
