W32.Winevar.worm, også kalt W32/WineVar.A-mm, I-Worm-Winevar og W32.HLLW.Winevar, er en e-postbasert Internett-orm som inneholder sin egen SMTP-server. Ifølge Telia Security- and Virusresearch i Danmark utnytter ormen to sårbarheter i Microsoft Windows. Microsoft har levert lappesaker til begge hullene, men mange brukere har fortsatt ikke installert dem.
Ifølge Telia kommer ormen i en e-postmelding med tittelen "Re: AVAR(Association of Anti-Virus Asia Reseachers)".
Meldingen inneholder følgende tekst:
"AVAR(Association of Anti-Virus Asia Reseachers) - Report.
Invariably, Anti-Virus Program is very foolish."
og vedleggene:
WIN [tilfeldige bokstaver].TXT (12.6 KB) MUSIC_1.HTM
WIN [tilfeldige bokstaver].GIF (120 bytes) MUSIC_2.CEO
HTML-filen vil forsøke å utnytte et hull i Microsoft Virtual Machine, tillegg til å inneholde ActiveX-kode som gjør .CEO-filer eksekverbare. Hvis bruken eksekverer .CEO-filen, vil følgende bli skrevet på skjermen:
"Make a fool of oneself
What a foolish thing you have done!"
Ormen vil søke etter e-postadresser i alle .HTM*- og .DBX-filer og sende en kopi av seg selv til disse ved hjelp av den innebygde SMTP-serveren. I tillegg skal ormen være effektiv når det gjelder å skru av antivirusprogramvare.
Og, som om ikke det var nok, vil ormen forsøke å lage et tjenestenektangrep mot www.symantec.com, nettstedet til antivirusselskapet Symantec.
_logo.svg.png){kind=logo}
Telia vurderer risikoen for smitte som relativt liten, da ormen i hvert fall foreløpig ikke er særlig utbredt.
