W32.Prolin.Worm maakt gebruik van een Shockwave-film als bijlage om nieuwsgierigen over te halen hem te activeren. W32.Prolin.Worm is op dit moment nog niet erg destructief, maar is zoals veel van zijn soortgenoten in staat via e-mailadressen in Outlook zich in rap tempo over Internet te verspreiden. W32.Prolin.Worm komt binnen per e-mail en is verborgen in een EXE bijlage. Alhoewel het aangehechte bestand een EXE bestand is, wordt hij zichtbaar als een Shockwave-bestand.
De worm is als volgt te herkennen:
Onderwerp: A great Shockwave flash movie
Body: Check out this new flash movie just now... it's great.
Bijlage: Creative.exe
Grootte van de bijlage: 36.864 bytes
Na het activeren installeert de worm zich op de computer. Het zoekt eerst naar het Outlook-adresboek en zendt vervolgens kopieën van zichzelf naar iedereen op de lijst. Daarnaast creëert W32.Prolin.Worm een bestand met de naam MESSAGEFORU.TXT. Dit bestand is te vinden in de root directory van uw computer en bevat alle modificaties die het virus op uw computer heeft aangebracht. De worm zoekt ook naar alle ZIP en JPEG bestanden en verplaatst ze naar de root directory van de computer. De namen van de diverse bestanden worden aangevuld met de woorden: change atleast now to LINUX.
Bijvoorbeeld: baby.jpg change atleast now to LINUX
Het MESSAGEFORU.TXT bestand kan gebruikt worden om de veranderde bestanden handmatig te herstellen. Naast een overzicht van alle aangepaste bestanden, bevat dit bestand ook de volgende boodschap:
"Hi, I guess you have got the message. I have kept a list of files that I have infected under this. If you are smart enough just reverse back the process. I could have done far better damage. I could have even completely wiped out your harddisk. Remember this is a warning & get it sound and clear... - The Penguin"
Het probleem is dat veel ontvangers denken dat daadwerkelijk om een filmpje gaat en het wel willen zien. Op die manier verspreidt het virus zich behoorlijk snel.
Deze posting is gelocked. Reageren is niet meer mogelijk.