Fw:
Fw: Re:
Cool
Nice
Hot
some
Funny
weird
funky
great
Interesting
many
website
site
pics
urls
pictures
stuff
mp3
shit
music
info
to check
for you
i found
tosee here - check it...!!
!
:-)
?!
hehe ;-)

Seleccionando palabras al azar de esta lista, el virus puede llegar a armar asuntos como estos:

Fw: Funny mp3s for you hehe ;-) 
Hot stuff i found ! 
Fw: Re: many urls ?! 
Fw: info to see ?! 
many site for you 
great urls i found 

Texto del mensaje:

Peace

Archivo adjunto:

Whatever.exe

En condiciones normales, el adjunto será automáticamente ejecutado sin necesidad de hacer doble clic sobre él, simplemente pinchando sobre el mensaje para leerlo. Esto lo hace extremadamente peligroso.

Luego, el gusano buscará la existencia de alguna libreta de direcciones del Outlook Express de donde tomará sus destinatarios al reenviarse.

Si la libreta de direcciones contiene alguna, el gusano intentará leer la cuenta 00000001 desde el registro:

HKEY_CURRENT_USER\Software\Microsoft
\Internet Account Manager\Accounts\00000001

Si esta cuenta no existe o está vacía, el intento fallará.

Si existe, de allí tomará el nombre de usuario, contraseñas, servidores SMTP, etc., para enviarse a todas las direcciones de correo encontradas.

El gusano no se instala en ningún momento en el disco del usuario infectado. Se ejecuta cuando el usuario recibe el mensaje infectado, se propaga de la forma mencionada, y luego no vuelve a ejecutarse hasta que el usuario vuelva a abrir el mensaje.

El código encriptado del virus contiene el siguiente texto:

----- Comienzo del texto ------

iworm.alizee by mar00n!ikx2oo1:::..while typing this text i realize this text got added onmany av.description sites, because thissilly worm could be easily a.hype. i wonder which av claims '[companyname] stopped highrisk.worm before it could escape!' r shit likethat. heh, or they.boycot my virus because of this text. well, it is easy enough.for the poor av's to add this worm; since it was only released.as source in coderz#2... btw, loveletter*2 power in pure win32asm.and only a 4kexe file. heh, vbs iddies, phear win32asm. :).thx to: bumblebee!29a, asmodeus!ikx. greets to: starzer0!ikx,.t-2000!ir,ultras!mtx & sweet gigabyte....btw,burgemeestervan sneek: ik zoek og een baantje

----- Final del texto ------

Este virus tiene la capacidad de propagarse aún cuando el usuario no esté usando el Outlook Express, siempre que lo haya utilizado antes (el Outlook Express se carga por defecto en Windows 98 y superiores). También podrá obtener la lista de contactos de antiguas libretas de direcciones.

Para eliminarlo, ejecute dos o más antivirus al día.

Como vimos, el I-Worm.Aliz utiliza una conocida vulnerabilidad del Outlook, para propagarse sin necesidad de abrir el archivo adjunto. Para aumentar nuestra protección al respecto, aconsejamos fuertemente se utilice algún programa que detecte todo archivo potencialmente peligroso, recibido por correo electrónico.

Sugerimos para ello, la nueva versión del ZoneAlarm (gratuito para su uso personal), que además de ser un excelente cortafuegos que protege nuestro PC de intrusos externos e internos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Zone Alarm puede ser bajado de nuestro sitio, si se dirige al área "Otro software". También encontrará allí las instrucciones para instalarlo y configurarlo fácilmente.

Ver también:

VSantivirus No. 500 - 20/nov/01
W32/Aliz.A. Tan solo 4 Kb y se propaga como el Nimda
http://www.vsantivirus.com/aliz-a.htm


Fuente: Central Command
(c) Video Soft - http://www.videosoft.net.uy