A szeptember 18-án felfedezett W32/Swen@MM hossza 106.496 byte, eredete még ismeretlen. Saját SMTP levelező komponenst is tartalmaz, e-mailen, helyi hálózaton, IRC-n és a KaZaa fájlcserélő hálózaton is terjed. MSVC nyelven íródott, és hasonlít a W32/Gibe@MM virusra, amely azonban VB-ben íródott.
A W32/Swen@MM leállítja a gépen a vírusvédelmi és más biztonsági programok folyamatait, és megakadályozza a REGEDIT.EXE indítását. Különböző hamis üzeneteket jelenít meg, például a Microsoft Biztonsági részlegéről küldött biztonsági frissítésnek álcázza magát.
Még a felkészült számítógéphasználót is megtéveszthetik a megfertőzött gép hamisított üzenetei:
Most felrakjuk a gépre a Microsoft biztonsági frissítést – kívánja folytatni? Igen – Nem.
A következő hamis felirat a folyamat előrehaladásáról tudósít.
Majd egy további örömmel közli, hogy a frissítés sikeresen befejeződött.
Mivel a készítő kíváncsi volt saját sikerére, a féreg a fertőzött gépről elindít egy HTTP kérést egy távoli oldalra, amivel így megszámlálja a fertőzött gépeket.
Az AVERT máris kibocsátott egy béta Daily DAT fájlt, amely lehetővé teszi a vírus felismerését. (Ld.: http://vil.nai.com/vil/virus-4d.asp )
A Network Associates 4120-as vagy későbbi adatfájllal frissített programjai már felfedezik a vírust, és ismeretlenként jelzik a következő szavakkal: “virus or variant New Worm”.
A W32/Swen@MM működésképtelenné teszi a REGEDIT.EXE programot, a helyreállításhoz az AVERT által kifejlesztett UNDO.REG „szerszám” szükséges: http://a64.g.akamai.net/7/64/2015/2003-08-04-03-/download.nai.com/products/mcafee-avert/undo.reg )
További információ az AVERT–től a W32Swen-ről: http://vil.nai.com/vil/content/v_100662.htm#Symptoms
Nézd meg a legfrissebb cikkeinket a címlapon!
