Robak pocztowy Pleh

Pleh to nowy robak internetowy napisanym w języku Visual Basic Script, który poza standardową funkcją tej grupy mikrobów, czyli rozsyłaniem się za pomocą poczty elektronicznej, zawiera również procedury destrukcyjne, polegające na nadpisywaniu plików określonego typu.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Temat: I hate you
Treść: i think that you must see this file ,i insist.
Nazwa załącznika: help.vbs
Wielkość załącznika: 3499 bajtów

Po uruchomieniu przez użytkownika załącznika robak rozpoczyna swoją działalność. Najpierw tworzy własne kopie w plikach c:\windows\system\kernal.vbs i c:\windows\help.vbs.

Następnie wyszukuje na dyskach lokalnych i sieciowych wszystkie pliki z rozszerzeniami: vbs, vbe, mp3, pwd, exe, mp2, doc, avi, mpeg, htm, po czym zamienia ich zawartość na własny kod, tworząc w ten sposób swe kopie.

Kolejnym etapem działania Pleha jest masowe rozsyłanie własnych kopii w postaci załączników do listów elektronicznych, adresowanych do wszystkich adresatów znajdujących się w książce adresowej systemu Windows. Narzędziem pomocnym na tym etapie zarażania jest program Microsoft Outlook.

Po wykonaniu opisanych procedur rozpoczynają się działania destrukcyjne. Na początek robak kasuje plik logos.sys, a następnie w pliku autoexec.bat dodaje polecenia powodujące sformatowanie dysku c: przy następnym uruchomieniu systemu Windows:

@cls
@Please wait it can take only few minuts
@format C:

Ostatecznie dodaje wpisy uruchamiające go automatycznie przy każdym starcie systemu Windows, zarówno w pliku win.ini, jak i Rejestrze.